Hush：讓AI代理使用你的秘密卻永遠看不到它們

隨著 AI 代理在開發工作流中扮演越來越重要的角色，如何安全地管理 API 金鑰、訪問令牌等敏感資訊成為關鍵問題。傳統的做法讓代理直接讀取明文秘密，這可能導致秘密意外出現在日誌、對話記錄或版本控制中。

Hush 正是為解決這一痛點而誕生的開源工具。它遵循一個核心原則：代理永遠不應該看到秘密的明文。Hush 將秘密安全地儲存在作業系統的原生金鑰鏈中——macOS 使用 Keychain，Linux 使用 libsecret（secret-tool），Windows 使用 DPAPI（透過 PowerShell）。

當代理需要某個秘密時，不需要先讀取它，而是透過 hush inject 命令將秘密以環境變數的形式注入到正在執行的子程序中。代理只知道環境變數名稱，卻不知道實際值。秘密僅在記憶體中存在極短時間，且永遠不會被列印到標準輸出或日誌。

Hush 的安裝非常簡單，只需克隆 GitHub 倉庫或透過 npm 全域性安裝。針對 Claude Code 等特定代理，Hush 還能作為技能自動載入。命令列介面包括：hush set 用於儲存使用者貼上的秘密（採用隱藏輸入，代理無法看到），hush mint 用於生成並儲存隨機秘密，hush list 僅列出秘密名稱而不暴露值，以及 hush rename 可以重新命名秘密而無需重新輸入。

Hush 的設計並非為了對付惡意的系統級攻擊。它主要解決的是“無意洩露”問題——防止代理在自己的對話歷史中記錄秘密。因此作者明確表示 Hush 不能被當作真正的加密保險庫，建議使用者定期備份金鑰鏈，或將秘密同步到專業的秘密管理服務。

目前 Hush 在 GitHub 上已獲得 2 顆星，主要使用 Shell 和 PowerShell 編寫。它非常適合開發者配合 AI 編碼助手使用，尤其是當需要頻繁注入 API 金鑰到各種命令中時。Hush 以 MIT 許可證釋出，鼓勵社群採用和改進。