为什么“Localhost”是个神话：你的剪贴板是公共 API

Source: Dev.to

看不见的泄漏

“本地主机就像一座堡垒。‘它只在我的机器上。很安全。’”
但数据是怎么到那里的？是你复制的。

剪贴板的现实

• 浏览器扩展 – 一个“优惠券查找器”扩展可能拥有读取剪贴板的权限，进而捕获诸如 AWS 密钥之类的敏感数据。
• 操作系统剪贴板历史 – Windows（Win + V）和 macOS 现在都会保存剪贴板历史。几个小时前复制的密码仍以明文形式保留，任何在你用户账户下运行的进程都可以读取。
• AI 工具 – 桌面应用如“ChatGPT”或其他写作助手常常监控剪贴板以提供帮助，无意中暴露了你复制的所有内容。

“先清理”习惯（新的卫生准则）

操作流程

1. 将脏文本粘贴到清理工具中。
2. 点击“Sanitize”。
3. 复制干净的文本用于共享环境或 AI 工具。

在工作流中加入这两秒的步骤，就能消除剪贴板历史中的 100 % 攻击面。

不要把剪贴板当成金库。它更像是广告牌。

收藏 Sanitizer – Risk Mirror。