Codex 处理客户项目的密钥安全检查清单

这份清单适合在用 Codex 处理客户代码、报错、部署配置或自动化脚本前后使用。它的目标很简单：任何真实密钥、账号权限、生产数据和客户隐私，都不能因为追求效率而进入不该进入的地方。

这篇仍是草稿，只做流程参考，不替代专业安全审计。建议先读 Codex 做项目时如何避免把密钥写进代码，再把下面清单复制到自己的项目记录里。写 Proposal 时可以配合 Proposal 生成器，但不要把客户敏感材料原样放进工具。

适合谁

适合需要一份固定开工检查表的新手，尤其是准备让 Codex 处理客户仓库、部署报错、接口配置、环境变量说明和交付文档的人。你可以把它放进每个小单的项目记录里，逐项确认。

也适合已经有一点项目经验、但发现自己容易在赶进度时漏掉脱敏和复核的人。清单不是为了拖慢你，而是为了让每次操作都留下可解释的证据。

不适合谁

不适合没有客户授权却要进入后台、下载真实数据、修改支付配置或接收完整生产凭证的任务。遇到这类情况，清单只能帮你识别风险，不能让高风险任务自动变成适合新手处理的任务。

也不适合把检查项当成完整安全审计的人。它是项目流程里的最低限度自查，不能替代客户自己的权限管理和专业安全复核。

风险提醒

只要任务中出现密钥、账号、生产环境、支付、真实用户数据、后台权限、云服务控制台或安全漏洞，就先暂停报价和执行。把需要客户确认的事项写出来，确认测试环境、授权范围和可回滚方案后再继续。

具体步骤

一、接收材料前

• 客户是否说明了任务目标、验收标准、环境范围和截止时间？
• 是否明确这是测试环境、预生产环境还是生产环境？
• 是否涉及 API key、数据库连接串、Webhook secret、云服务 token、账号密码、服务账号文件或支付配置？
• 是否涉及真实用户数据、订单、邮箱、手机号、日志、截图或内部接口？
• 是否需要登录、绑定、授权、开通服务、重置密钥或修改后台权限？

只要答案里出现授权、生产、真实数据、支付、安全漏洞等关键词，就不要急着报价和动手。先把需要客户确认的事项列出来。

二、脱敏材料清单

• .env 文件：保留变量名，删除真实值。
• 报错日志：保留错误码、调用路径、堆栈位置，删除 token、邮箱、手机号、订单号。
• 截图：遮住密钥、账号、后台 URL、内部项目名和用户信息。
• 配置文件：保留字段结构，替换私有 endpoint 和凭证。
• 请求样例：保留方法、路径、非敏感 header，删除认证信息和真实 payload。
• 数据库信息：只保留表名、字段名和脱敏样例，不导出真实数据。

脱敏的原则是“让人能理解问题，但不能拿去访问系统”。如果脱敏后无法复现问题，优先让客户建立测试环境，而不是索要生产密钥。

三、给 Codex 前

• 是否只选择了和任务有关的文件？
• 是否确认没有把 .env、凭证文件、完整日志目录加入上下文？
• 是否在提示词里写明“不要要求真实密钥，遇到授权动作要列为人工确认”？
• 是否先用 报错解释器 拆解错误，而不是把整个仓库交出去？
• 是否记录了哪些文件允许修改，哪些文件只读？

可以使用这段边界提示：

请基于脱敏材料分析问题。
不要生成真实密钥，不要要求我提供账号密码或生产 token。
如果下一步需要登录、授权、开通、付款、重置密钥或访问生产数据，请停止并列出人工确认事项。

四、修改后

• git diff 是否只包含本次任务相关改动？
• 是否新增了 .env、日志、凭证、私钥、导出数据或截图文件？
• 代码里是否出现硬编码的 key、secret、token、password、credential？
• 文档和注释里是否把真实配置写出来了？
• 测试文件是否用了真实服务地址或真实账号？
• 构建产物是否包含环境变量或配置快照？

如果发现敏感内容已经进入 diff，先停止提交，删除内容，重新检查。不要用“待会儿再删”来处理密钥问题。

五、提交和交付前

• 是否跑过项目已有检查，例如 lint、build、测试、内容检查或 smoke test？
• 是否搜索过常见敏感关键词？
• 是否检查过提交记录中没有新增敏感文件？
• 是否写清楚了未覆盖范围，例如“未登录生产后台”“未处理真实支付配置”“未接触客户用户数据”？
• 是否把需要客户完成的授权动作单独列出？

交付说明可以这样写：

已完成：
- 修改范围：
- 验证命令：
- 验证结果：

未覆盖：
- 未接触真实生产密钥
- 未修改账号权限
- 未访问真实用户数据

需要客户确认：
- 在自己的平台控制台更新环境变量
- 使用测试账号复核功能

六、必须暂停的信号

遇到以下情况，先暂停并记录：客户要求你使用真实后台账号、让你处理生产数据库、让你修改支付密钥、让你关闭安全校验、让你查看无关私密信息、让你在没有授权说明的情况下执行高权限命令。

暂停不是拖慢进度，而是保护双方。真正可持续的 AI 工具实践流程，是把能自动化的部分自动化，把必须人工确认的部分写清楚。

CTA：下一步

下一步可以看 常见密钥泄露错误，把这份清单转成自己的项目 SOP。需要整理客户回复时，可以结合 Proposal 生成器 和 模板库，但仍要手动删掉敏感材料。

免责声明

本文只用于流程学习和草稿复核，不构成法律意见、安全审计、合规建议或具体项目承诺。真实项目应以客户授权、平台规则、合同约定和专业复核为准；需要注册、授权或高权限操作的事项，应先记录并由客户确认。