名称： side-peace
版本： 1.1.0
描述： 极简安全的秘密交接工具。零外部依赖。用户通过浏览器表单提交秘密，代理通过临时文件接收。秘密绝不会出现在 stdout 或日志中。

Side_Peace 🍒

一种极其简单的人机秘密交接方式。无需信任任何 npm 包——仅使用 Node.js 内置模块。

核心安全特性： 秘密被写入临时文件，绝不会打印到 stdout。这能防止秘密出现在聊天记录或命令输出中。

工作原理

1. 代理运行 node drop.js --label "API Key"
2. 代理将生成的 URL 分享给用户
3. 用户在浏览器中打开 URL，粘贴秘密并提交
4. 秘密被保存到临时文件（仅打印文件路径，不打印内容）
5. 代理读取文件、使用秘密、然后删除文件

使用方法

# 基础用法 - 秘密保存到随机临时文件
node skills/side-peace/drop.js --label "CLAWHUB_TOKEN"

# 自定义输出路径
node skills/side-peace/drop.js --label "API_KEY" --output /tmp/my-secret.txt

# 自定义端口
node skills/side-peace/drop.js --port 4000 --label "TOKEN"

读取秘密

接收后，秘密存储在临时文件中：

# 读取并使用（以 clawhub 为例）
SECRET=$(cat /tmp/side-peace-xxx.secret)
npx clawhub login --token "$SECRET" --no-browser
rm /tmp/side-peace-xxx.secret

或者使用单行命令：

cat /tmp/side-peace-xxx.secret | xargs -I{} npx clawhub login --token {} --no-browser; rm /tmp/side-peace-xxx.secret

安全性

• 零依赖 —— 仅使用 Node.js 内置模块
• 秘密绝不输出到 stdout —— 写入权限为 0600 的文件
• 仅在内存中暂存 —— 临时文件使用后即删除
• 一次性服务 —— 服务器接收秘密后自动退出
• 约 60 行代码 —— 完全可审计

输出示例

🍒 Side_Peace 等待中...
   标签：CLAWHUB_TOKEN
   输出文件：/tmp/side-peace-a1b2c3d4.secret

   本地地址：    http://localhost:3000
   网络地址：    http://192.168.1.94:3000

等待接收秘密...

✓ 秘密已接收并保存。
   文件：/tmp/side-peace-a1b2c3d4.secret
   （出于安全考虑，秘密内容不会打印到 stdout）

秘密已保存在文件中。请读取、使用并删除它。