桃子桃子快讯
返回首页
工具

开源工具 hooprs 上线:本地扫描 AI 编程会话中的隐私泄露

hooprs 是一款开源命令行工具,可在本地扫描 Claude Code、Cursor、OpenCode 等 AI 编程…

2026.07.09 · 周四4 分钟阅读

hooprs 是一款在 Show HN 上亮相的开源命令行工具,专注于扫描本地 AI 编程会话中的个人身份信息(PII)与密钥泄露。它针对 Claude Code、Cursor、OpenCode 等主流 AI 编码代理的会话记录进行检测,整个流程完全在本机完成,不经过任何网关或 API 调用,适合关注数据合规与代码安全的开发者与团队使用。

核心定位:本地检测 + 价值脱敏

hooprs 的设计围绕「扫描器本身不应泄露数据」这一原则展开,主要特性包括:

  • 完全本地化:检测在进程内执行,无 DLP 服务、无外部 API 请求,所有数据均不离开用户磁盘。
  • 校验驱动:信用卡号走 Luhn 校验,IBAN 走 mod-97 校验,SSN 等国家识别号走范围校验,未通过校验的候选值不会进入报告。
  • 分级排序:会话按 critical / minor / low 分级并按暴露程度排序,便于优先处理高风险会话。
  • 价值脱敏报告:HTML 与 JSON 报告仅包含实体类型、数量与严重程度,不包含明文匹配值,团队分享时不会造成二次泄露。
  • 方向感知:发现项区分为输入(用户键入)与输出(代理拉入上下文),从代理读取的泄露权重更高。

安装与基础使用

hooprs 提供三种安装方式,覆盖 macOS、Linux 与 Windows:

  • brew install hoophq/tap/hooprs
  • curl -fsSL https://raw.githubusercontent.com/hoophq/rs/main/install.sh | sh
  • npx @hoophq/rs

安装完成后,键入 hooprs 即可扫描所有会话,在终端输出摘要,并自动打开一个独立的 HTML 报告页面。常用参数包括 -days N(限定时间窗口)、-json path(输出机器可读报告)、-tools cursor(限定数据源)、-project 'pattern'(按项目正则过滤)等,并支持 -incremental 增量扫描与 -show-values 在终端显示高危匹配值(仅终端,不写入报告)。

检测覆盖范围

hooprs 内置的 alcatraz 引擎覆盖以下结构化数据家族:

  • 密钥类:GitHub、OpenAI、Google、Slack、Stripe、JWT 等 API Key,AWS Access Key,私钥与通用密码。
  • 金融类:信用卡号、IBAN、加密货币地址、ABA 路由号。
  • 政府/证件类:美国 SSN、ITIN、护照、驾照;英国 NINO;以及澳、印、意、西、新、波、韩、芬、泰等多国国家识别号。
  • 健康类:医师执照、英国 NHS 与澳大利亚 Medicare 号码。
  • 联系方式:邮箱、电话、IP 地址、URL。

报告分享机制

报告页面内置分享按钮,可一键生成 1200×630 的摘要卡片(PNG)并复制到剪贴板,同时附带可粘贴到 Slack 的文案;若浏览器禁止剪贴板访问,则提供 PNG 下载。同时支持通过「保存为 PDF」打印样式导出,整个过程在浏览器本地完成,不涉及外部上传。

hooprs 由 Hoop 团队在 5 天内完成开发并以开源形式发布,源码以 Go 1.24+ 构建,仅依赖一个纯 Go 检测库 alcatraz,适合希望对 AI 编程会话进行持续合规审计的个人开发者与团队试用。

信源