AI Safety > AI安全利用チェック
Codexに渡してはいけないSecretsとは?APIキー・.env・SSH鍵を守る作業前チェック
Codexに作業を頼む前に、読み取らせるファイル、貼り付けるログ、報告文にSecretsや個人情報が混ざっていないかを確認します。
このページでわかること
Codex作業時のSecrets混入を防ぎ、触らないファイルとSTOP条件を明確にします。
使う場面
- ローカル作業を頼む前
- GitHub差分を確認する前
- エラー文やログを貼る前
- 本番反映やFTP作業を依頼する前
STOP条件
- Secretsが含まれる可能性がある
- 触ってはいけない設定ファイルがある
- 公開してはいけない内部情報が必要になりそう
- 本番作業の権限範囲が不明
結論
入力、連携、アップロード、共有の前に、人間が情報の種類と公開範囲を確認します。迷う情報は入れず、必要なら伏せ字、要約、範囲限定で済むかを検討します。
このページは安全を確定するものではありません。会社ルール、契約、公式情報、専門家確認が必要な場面ではそちらを優先します。
入力・連携・アップロード前に確認すること
- .envや設定ファイルを含めない
- APIキー/token/SSH鍵を貼らない
- DB接続情報やFTP情報を見せない
- 公開記事に本番の内部場所を残さない
- 差分と報告書にSecretsが混ざらないか見る
やってはいけないこと
- Codexなら安全と決めつけない
- 本番情報を必要以上に渡さない
- 顧客情報を作業ログに残さない
- 触らないファイルの範囲を曖昧にしない
確認表
| 場面 | 見るもの | 迷った時 |
|---|---|---|
| 入力前 | 個人情報、機密情報、Secrets、社内資料 | 入力しない、伏せる、要約する |
| アップロード前 | ファイル本文、画像内文字、メタ情報、ファイル名 | 範囲を絞る、人間が確認する |
| 連携前 | アカウント、権限、共有範囲、管理者設定 | 連携を止め、公式情報を確認する |
| 共有前 | 事実、日付、出典、公式誤認、個人情報 | 公開前チェックに戻す |
関連ページ
FAQ
- Codexに.envを見せてもよいですか?
- 実際の値を含む.envは見せない前提で扱います。必要なら項目名だけにするなど、値を伏せます。
- 作業報告にも注意が必要ですか?
- 必要です。内部の場所やSecretsが報告文に残らないよう確認します。
- GitHub作業なら大丈夫ですか?
- リポジトリ内の設定、ログ、差分にSecretsがないかを別途確認します。
- 停止すべき条件は?
- Secretsや顧客情報を出さないと進められない時は止めて確認します。