开源工具 hooprs 上线:本地扫描 AI 编程会话中的隐私泄露
hooprs 是一款开源命令行工具,可在本地扫描 Claude Code、Cursor、OpenCode 等 AI 编程…
hooprs 是一款在 Show HN 上亮相的开源命令行工具,专注于扫描本地 AI 编程会话中的个人身份信息(PII)与密钥泄露。它针对 Claude Code、Cursor、OpenCode 等主流 AI 编码代理的会话记录进行检测,整个流程完全在本机完成,不经过任何网关或 API 调用,适合关注数据合规与代码安全的开发者与团队使用。
核心定位:本地检测 + 价值脱敏
hooprs 的设计围绕「扫描器本身不应泄露数据」这一原则展开,主要特性包括:
- 完全本地化:检测在进程内执行,无 DLP 服务、无外部 API 请求,所有数据均不离开用户磁盘。
- 校验驱动:信用卡号走 Luhn 校验,IBAN 走 mod-97 校验,SSN 等国家识别号走范围校验,未通过校验的候选值不会进入报告。
- 分级排序:会话按 critical / minor / low 分级并按暴露程度排序,便于优先处理高风险会话。
- 价值脱敏报告:HTML 与 JSON 报告仅包含实体类型、数量与严重程度,不包含明文匹配值,团队分享时不会造成二次泄露。
- 方向感知:发现项区分为输入(用户键入)与输出(代理拉入上下文),从代理读取的泄露权重更高。
安装与基础使用
hooprs 提供三种安装方式,覆盖 macOS、Linux 与 Windows:
brew install hoophq/tap/hooprscurl -fsSL https://raw.githubusercontent.com/hoophq/rs/main/install.sh | shnpx @hoophq/rs
安装完成后,键入 hooprs 即可扫描所有会话,在终端输出摘要,并自动打开一个独立的 HTML 报告页面。常用参数包括 -days N(限定时间窗口)、-json path(输出机器可读报告)、-tools cursor(限定数据源)、-project 'pattern'(按项目正则过滤)等,并支持 -incremental 增量扫描与 -show-values 在终端显示高危匹配值(仅终端,不写入报告)。
检测覆盖范围
hooprs 内置的 alcatraz 引擎覆盖以下结构化数据家族:
- 密钥类:GitHub、OpenAI、Google、Slack、Stripe、JWT 等 API Key,AWS Access Key,私钥与通用密码。
- 金融类:信用卡号、IBAN、加密货币地址、ABA 路由号。
- 政府/证件类:美国 SSN、ITIN、护照、驾照;英国 NINO;以及澳、印、意、西、新、波、韩、芬、泰等多国国家识别号。
- 健康类:医师执照、英国 NHS 与澳大利亚 Medicare 号码。
- 联系方式:邮箱、电话、IP 地址、URL。
报告分享机制
报告页面内置分享按钮,可一键生成 1200×630 的摘要卡片(PNG)并复制到剪贴板,同时附带可粘贴到 Slack 的文案;若浏览器禁止剪贴板访问,则提供 PNG 下载。同时支持通过「保存为 PDF」打印样式导出,整个过程在浏览器本地完成,不涉及外部上传。
hooprs 由 Hoop 团队在 5 天内完成开发并以开源形式发布,源码以 Go 1.24+ 构建,仅依赖一个纯 Go 检测库 alcatraz,适合希望对 AI 编程会话进行持续合规审计的个人开发者与团队试用。
