피드로 돌아가기
Dev.toSecurity
원문 읽기
AI 코딩 도구 3종의 로컬 데이터 저장소 및 Credential 보안 취약점 분석
I Audited 3 AI Coding Tools for Privacy — The Difference Is 100x
AI 요약
Context
AI 코딩 어시스턴트의 확산으로 사용자 대화 기록과 API Key 등 민감 데이터의 로컬 저장 방식에 대한 검토 필요성 증대. 대다수 도구가 사용자 고지 없이 대화 이력을 Plaintext로 아카이빙하는 구조적 취약점을 보유함.
Technical Solution
- Claude Code: ~/.claude/projects/ 경로에 JSONL 포맷으로 세션별 데이터 저장 및 settings.json 내 API Key를 Plaintext로 관리하는 설계
- Cursor: SQLite 기반의 Token 저장 구조를 채택했으나, 대화 Transcript 내에 사용자가 입력한 비밀번호와 API Key를 그대로 기록하는 로직
- Cline: VS Code Secrets API를 통한 OS Keychain 연동으로 API Key 보안성을 확보하고, Task 단위의 디렉토리 분리를 통한 Data Isolation 구현
- 공통 구조: 모든 분석 대상 도구가 사용자 입력, AI 응답, Tool Call 결과를 로컬 파일 시스템에 Full Text로 저장하는 Archive-by-default 정책 유지
- Cline의 Open Source 아키텍처를 통한 저장 로직의 투명성 및 감사 가능성(Auditability) 확보
실천 포인트
1. AI 도구 설정 파일 및 로컬 로그 디렉토리의 Plaintext 민감 정보 포함 여부 전수 조사
2. API Key 저장 시 단순 파일 저장이 아닌 OS Keychain/Secret Manager 연동 여부 확인
3. Project/Task 단위의 데이터 격리(Isolation) 수준 검토 및 불필요한 데이터 주기적 삭제 프로세스 수립