Ich habe einen Git Pre-Push-Hook erstellt, der ein LLM verwendet, um deine Diffs auf Geheimnisse zu scannen, bevor sie deinen Computer überhaupt verlassen. So funktioniert es 🧵

Wenn Sie git push ausführen, wird zuerst der Hook ausgelöst. Er ermittelt, was neu ist – entweder alle Commits auf einem neuen Branch oder nur die neuen Commits auf einem bestehenden – und generiert einen git diff von genau dem, was gleich ausgehen wird.

Dieser Diff wird mit einem streng begrenzten Prompt an die Kimi CLI gesendet. Das Modell wird angewiesen, mit GENAU einem von zwei Strings zu antworten: SAFE_TO_PUSH oder BLOCK_PUSH.

Es scannt nach den üblichen Verdächtigen: - API-Schlüssel (OpenAI, Anthropic, AWS…) - Passwörter & Auth-Token - Private Schlüssel (SSH, SSL, JWT-Geheimnisse) - DB-Verbindungszeichenfolgen mit Anmeldeinformationen - .env-Dateien, die in ein Commit geschlichen sind

Wenn es zurückkommt BLOCK_PUSH, verlässt der Hook mit 1 – der Push wird abgelehnt, und Sie sehen genau, welche Zeilen dies ausgelöst haben, plus eine Schwerebewertung. Beheben Sie es, und pushen Sie erneut.

Das Schöne an der Verwendung eines LLM hier anstelle von Regex-Mustern: Es versteht den Kontext. Ein Regex für "sk-" erfasst OpenAI-Schlüssel, übersieht jedoch ein benutzerdefiniertes internes Token namens PROD_SECRET. Das Modell erfasst beides.