
de cloak15
Protège les secrets .env réels en remplaçant les valeurs sur disque par des valeurs de sandbox sécurisées, tout en fournissant un coffre-fort et un CLI pour exécuter des processus avec les secrets réels.
Cloak empêche les agents IA et les processus accidentels d'accéder aux identifiants réels en chiffrant les valeurs .env réelles dans un coffre-fort et en les remplaçant sur le disque par des valeurs de sandbox structurellement valides. Les développeurs conservent l'accès via une extension de déchiffrement ou un CLI. La compétence documente la détection, les règles de manipulation sécurisées et les commandes (cloak run, set, edit, recover) afin que les agents sachent comment interagir en toute sécurité avec les projets utilisant Cloak.
Utilisez cette compétence lors de l'interaction avec des projets pouvant contenir un fichier .env ou un marqueur .cloak. Si .cloak existe, suivez les règles de Cloak : lisez uniquement les valeurs .env sandboxed, ne tentez pas d'accéder au coffre-fort, et privilégiez cloak run pour les commandes nécessitant des secrets réels. Si .env existe sans .cloak, suggérez l'initialisation de Cloak (demandez avant d'exécuter cloak init).
Les agents qui interagissent avec des bases de code et des CLI (assistants de codage type Copilot/Codex, Cursor, Claude Code, Gemini CLI) bénéficieront de ces règles car elles empêchent la fuite accidentelle de secrets réels et fournissent des modèles de commandes sécurisés.
Cloak est une compétence permettant de protéger les secrets .env contre les agents de codage IA en remplaçant les valeurs sur disque par des faux de bac à sable (sandbox fakes) et en fournissant un coffre-fort/CLI pour l'accès aux identifiants réels. Le SKILL.md est bien écrit avec des instructions claires, des règles de détection et une référence des commandes. Les deux scripts fournis ont échoué isolément — cross-compat-test.sh nécessite le contexte du répertoire extension/, et release.sh nécessite des arguments ainsi qu'un dépôt git. Préoccupation de sécurité : le SKILL.md inclut des instructions d'installation via `curl | sh`, ce qui est un modèle d'exécution de code à distance, bien que présenté comme étant destiné à l'utilisateur plutôt qu'à l'agent de manière autonome.
Le modèle curl|sh est pédagogique (pour suggérer aux développeurs) plutôt que quelque chose que l'agent exécute anonymement, mais justifie tout de même la déduction de sécurité. Le concept de la compétence est véritablement utile et bien structuré. Les scripts sont des outils de release de qualité production, et non la fonctionnalité principale de la compétence.