「いやこれ、めちゃくちゃ怒られたわ」笑い話のように書くけど、当時は冷や汗ダラダラでした。これ、私の実際の失敗談です。
その日、何気なくスクショを貼り付けた
ブログへの自動投稿機能を作っていた。そのためにWordPress(※ブログを作るためのソフト)の「Application Password(アプリケーションパスワード)」という認証情報(※外部のアプリがWordPressにアクセスするための鍵)が必要になった。
私は何も考えずに、WordPressの管理画面で発行したパスワードが書かれたスクリーンショットを、そのままClaude Codeに貼り付けた。「これで設定して」と。
Claudeからの「赤字の警告」
Claude Codeは、使い慣れれば慣れるほど「断らない」印象がある。でもこのときだけは違った。返ってきた内容はほぼこんな感じ。
「いただいたパスワードが本文中に含まれています。即座にWordPressの管理画面で削除して再発行してください。そして二度とこのようなスクショや情報を貼り付けないでください」
ぐう……。完全にドヤ顔でした、私。「はよ動かして」ってノリで貼り付けたのに。
なんでそんなに怖いのか
CLAUDE.mdに「絶対禁止事項:APIキーをコードに書かない」と書いてあったから、Claudeはルール通りに動いてくれた。でも問題は、私がそのルールを自分で破ったってこと。
パスワードやAPIキー(※サービスを使うための鍵)をチャット画面に貼ると、万が一そのやりとりが漏れたとき、そのまま悪用される可能性がある。一見「隠れてる」ように見えても、デジタルデータは「隠れたもの」として扱わないといけない。
この失敗から学んだ秘密情報の扱い方3条件
私の失敗を他のIT素人の方に繰り返してほしくないので3つにまとめる。
①APIキー・パスワード・トークンは、画像にもテキストにも、AIに渡さない。どうしても伝えたい場合は「キーの先頭4文字だけ見せる」「形式だけ伝える」など、本体は渡さない方法を取る。
②怪しいと思ったら、即座に削除して再発行。「漏れたかも」と思ったら迷わず削除。再発行は数分で終わる。迷ってる間の方がリスクが高い。
③1Passwordなどのパスワードマネージャーで一元管理。APIキーは1Password(※パスワードを安全に管理するアプリ)に保存して、.envファイル(※プログラムの設定情報を入れる隠しファイル)に書いて使う。絶対にコードやチャットに直接コピペしない。(※.envファイル:パスワードやAPIキーを安全に管理するための隠しファイル。GitHubには絶対に上げない)
「Claude Codeに怒られた」という体験は今でも活きてる
この失敗、実は今でも少し恥ずかしい。でも同じ境遇の人が絶対いると思って書いた。非エンジニアがAI開発に手を出すとき、「セキュリティ」って後回しにしがちや。難しそうやし、とりあえず動かしたいし。
でも最初に1Passwordを入れて、.envファイルを習慣にするだけで、この手のミスは一生しなくなる。次の記事では、もっとスケールの大きい「ラスボス」——アプリを乗っ取ろうとする「罠の命令文」との戦いを書きます。
コメント