前沿編碼代理仍在撒謊——我測量了這一點
開發者構建了Trusty Squire,自動化AI輔助編碼中註冊第三方服務的繁瑣手動過程。它整合編碼代理處理註冊、驗證和API金鑰儲存,使用安全代理保險庫,消除.env檔案,防止金鑰進入代理上下文。
大多數AI編碼工具能夠快速構建整合、遷移和測試,但每次遇到新的第三方服務依賴時,流程都會卡在同一個地方:代理生成程式碼並提示“將你的RESEND_API_KEY新增到.env”。開發者不得不手動註冊服務、驗證郵箱、獲取金鑰並貼上到.env檔案中,這不僅繁瑣,還引入了安全風險——金鑰可能被提交到GitHub或留在代理的上下文視窗中。
為了解決這一最後的手動障礙,作者構建了Trusty Squire,一個開源MCP伺服器。它由現有編碼代理(如Claude Code、Cursor、Codex或Goose)驅動,控制一個作用域瀏覽器自動完成註冊流程,包括處理電子郵件驗證、繞過驗證碼,並將API金鑰直接存入加密保險庫。關鍵設計原則是:原始金鑰永不返還給代理,也絕不進入程式碼倉庫。保險庫是隻寫的,代理無法讀取金鑰值;當程式碼需要金鑰時,透過代理伺服器注入,服務端替換佔位符後返回響應,金鑰僅流向提供商。
對於已部署的應用,可以建立出口授權——一個作用域、限速率且可即時撤銷的令牌。這樣保險庫成為控制平面:一次輪換金鑰,所有授權自動更新;洩露時撤銷授權,後續呼叫失敗關閉。特別值得注意的功能是多控制台設定,例如在Google Cloud控制台建立客戶端金鑰並在另一個控制台使用,驅動在會話中捕獲金鑰並封閉處理,從未在代理上下文或聊天記錄中暴露明文。
處理現代登錄檔單的機器人門控是主要的工程挑戰。Cloudflare Turnstile、Clerk、DataDome等機制經常導致通用瀏覽器代理停滯。Trusty Squire在後臺處理這些驗證,並且隨著使用而加速:首次成功註冊會被提煉為可重用的配方並共享,後續任何人配置同一服務時,可在約30秒內回放,無需重新探索流程。
儘管效果顯著,仍存在侷限性:最佳支援OAuth註冊(Google/GitHub),但部分服務可能需要更復雜的處理。最重的驗證碼堆疊、電話驗證門控和激進的防機器人面板仍需手動處理。單次使用的魔法連結存在爭用條件,資料中心IP會話失效是持續的運維挑戰。專案目前處於測試階段,免費使用。
Trusty Squire是開源專案,可作為MCP伺服器整合到Claude Code、Cursor和Codex中。開發者可透過指定連結開始使用或在GitHub上檢視程式碼。作者歡迎對安全模型的反饋。