Prompt Poaching: 내가 Secret Sanitizer를 만든 이유
Source: Dev.to
번역할 텍스트가 제공되지 않았습니다. 번역을 원하는 본문을 알려주시면 한국어로 번역해 드리겠습니다.
Source: …
Overview
작년, 나는 실패한 배포를 디버깅하기 위해 터미널 출력의 일부를 ChatGPT에 붙여넣었다. 유용한 답변이 나왔고, 경험도 좋았다. 그런데 프롬프트 안에 내 AWS 키가 그대로 보이는 것을 발견했다—아마도 다른 사람 서버에 영원히 남아 있을 수도 있었다.
즉시 키를 교체했지만, 별다른 일은 일어나지 않았다. 하지만 그 기억은 남았다.
2025년 말, 보안 연구원들은 더 심각한 문제를 발견했다: 수백만 명의 사용자를 보유한 Chrome 확장 프로그램이 AI 대화를 몰래 수집하고 그 데이터를 브로커에게 판매하고 있었다—Google의 “Featured” 배지를 가진, 프라이버시 도구로 마케팅된 확장 프로그램들이다.
그들은 이를 Prompt Poaching이라고 부른다—그리고 거의 9 백만 명의 사용자가 영향을 받았다.
그때 나는 문제가 두 겹이라는 것을 깨달았다. AI 제공자에게 무엇을 보내는지만이 아니라, 브라우저 확장 프로그램이 그 전에 무엇을 볼 수 있는지도 문제였다.
클립보드와 채팅 입력 사이에 끼어 있을 무언가가 필요했다. 그래서 나는 직접 만들었다.
Secret Sanitizer 만나기
An open‑source Chrome extension that masks secrets before they reach any AI chat.
아이디어는 간단합니다:
You copy: DATABASE_URL=postgres://admin:s3cret@prod.internal:5432/app
You paste: DATABASE_URL=[MASKED]ChatGPT, Claude, Gemini, Grok, Perplexity, DeepSeek — 혹은 추가한 사용자 정의 사이트 —에 붙여넣을 때, 확장 프로그램이 붙여넣기를 가로채고, 브라우저 내에서 로컬로 정규식 패턴을 실행하여 감지된 비밀을 [MASKED] 로 교체하고, 차단된 내용을 확인시켜 주는 토스트 알림을 표시합니다.
AI는 여전히 질문을 받습니다. 다만 자격 증명은 받지 못합니다.
원본 값은 로컬 암호화된 금고에 저장되며, 언제든지 마스크를 해제할 수 있습니다.
무엇을 감지하나요
- API 키 (AWS, GCP, Azure, Stripe, GitHub, OpenAI 등 다수)
- 비밀번호, 베어러 토큰, JWT
- 데이터베이스 연결 문자열
- 개인 키 블록
.env키‑값 쌍- 인도 개인식별정보(PII) 예: Aadhaar 및 PAN 번호
각 패턴은 개별적으로 켜거나 끌 수 있어, 오탐으로 인한 번거로움을 없앨 수 있습니다.
왜 신뢰할 수 있는가
- 100 % 로컬 —
fetch()도 없고,XMLHttpRequest도 없으며, 네트워크 호출도 없습니다. 직접 확인하세요:grep -r "fetch\|XMLHttpRequest" content_script.js - 오프라인에서도 작동 — Wi‑Fi를 끄고 시도해 보세요
- 전체 38 KB — 38 KB 안에 악성 코드를 숨길 곳이 없습니다
- 오픈 소스 — MIT 라이선스. 모든 코드를 읽어보세요
기타 기능
- 테스트 모드 — 붙여넣기를 수정하지 않고 마스킹되는 내용을 미리 보기
- 통계 대시보드 — 차단된 비밀을 추적하고 가장 많이 트리거되는 패턴을 확인
- 맞춤 사이트 — 한 번의 클릭으로 모든 도메인을 보호
- 백업 및 복원 — 설정을 내보내고 가져오기
- 다크 모드 및 키보드 단축키
사용해 보기
- Chrome Web Store — 원클릭 설치
- GitHub — 소스 코드, 이슈, 기여 환영
다음은
- Firefox 지원
- 스마트 복원 (AI 응답을 복사할 때 비밀을 자동 복원)
- 커뮤니티 패턴 팩
사용해 보신다면, 제가 놓친 패턴이 무엇인지, 오탐이 있는지, 혹은 Firefox 버전을 사용하실지 알려주시면 좋겠습니다. 댓글을 남기거나 이슈를 열어 주세요. 그리고 이것이 누수를 방지한다면, GitHub에 ⭐를 달아주시면 다른 개발자들이 찾는 데 도움이 됩니다.
안전하게 붙여넣으세요 💚.