AI Safety > AI安全利用チェック
GitHub private repoでもSecretsは安全とは限らない|AI作業前の確認ポイント
private repoは公開範囲が限られますが、Secretsや顧客情報を置いてよい理由にはなりません。AIに読ませる前に、リポジトリ内とログを確認します。
このページでわかること
GitHub private repo、Actionsログ、AIコードレビュー時のSecrets確認をまとめます。
使う場面
- AIにリポジトリを読ませる前
- GitHub Actionsのログを見る前
- PRレビューをAIに頼む前
- テストデータや設定ファイルを共有する前
STOP条件
- 漏えい疑いがある
- CIログに値が見える
- 権限範囲が不明
- 削除や再発行の判断が必要
結論
入力、連携、アップロード、共有の前に、人間が情報の種類と公開範囲を確認します。迷う情報は入れず、必要なら伏せ字、要約、範囲限定で済むかを検討します。
このページは安全を確定するものではありません。会社ルール、契約、公式情報、専門家確認が必要な場面ではそちらを優先します。
入力・連携・アップロード前に確認すること
- .env、config、ログ、CI出力
- テストデータ内の個人情報
- GitHub ActionsログのSecrets表示
- スクショやPR本文に残る情報
- アクセスできるメンバーと権限
やってはいけないこと
- private repoなら安心と書かない
- Secretsを置いたままAI作業しない
- 攻撃手順を書かない
- 反応しているページや設定を不用意に消さない
確認表
| 場面 | 見るもの | 迷った時 |
|---|---|---|
| 入力前 | 個人情報、機密情報、Secrets、社内資料 | 入力しない、伏せる、要約する |
| アップロード前 | ファイル本文、画像内文字、メタ情報、ファイル名 | 範囲を絞る、人間が確認する |
| 連携前 | アカウント、権限、共有範囲、管理者設定 | 連携を止め、公式情報を確認する |
| 共有前 | 事実、日付、出典、公式誤認、個人情報 | 公開前チェックに戻す |
関連ページ
FAQ
- private repoならAPIキーを置いてよいですか?
- 置いてよい理由にはなりません。見える人やログ、連携先も確認します。
- AIコードレビュー前に見ることは?
- Secrets、個人情報、テストデータ、CIログ、PR本文を確認します。
- Actionsログも危険ですか?
- ログに値が出る場合があります。表示される内容を確認します。
- 漏えい疑いがある時は?
- 無効化、再発行、影響確認を検討します。