AI過信防止 / 秘密情報
Codexに秘密情報を渡す前に確認すること
Codexに貼ってはいけない情報を、作業前に分けておくことが大切です。秘密情報は一度ログや差分に出たら、漏れた前提で扱います。
このページはAIを過信しないための非公式メモです。映画、作品、権利者、AIサービス各社の公式窓口ではありません。赤い目は抽象的な警告役であり、作品や台詞、画像の再現ではありません。
このページでわかること
- Codexまわりの検索意図を、初心者向けに役割別で整理できます。
- ローカルファイル、認証情報、APIキー、パスワード、DB情報、.env、秘密鍵を慎重に扱う理由が分かります。
- AIの変更提案をそのまま反映せず、人間が差分確認する流れを確認できます。
貼ってはいけない情報
APIキー、SSH秘密鍵、DBパスワード、.env、証明書秘密鍵、FTP情報、サーバー管理情報、メール設定、顧客情報、個人情報、未公開資料は、Codexへの指示文や作業ログに貼らない前提で扱います。必要な場合は、値そのものではなく「環境変数名」「Secretsに保存する」「管理画面で再設定する」のように表現します。
ログに出たらどう考えるか
チャット、作業ログ、Git差分、HTML、レポートに秘密情報が出た場合は、消しただけで安全とは考えません。公開やpushを止め、影響範囲を確認し、必要ならキーやパスワードを無効化、再発行、ローテーションします。赤い目の警告役は、不安を煽るためではなく、確認不足のまま進まないための目印です。
GitHub Secretsと環境変数
秘密情報は、HTMLやREADMEに書くのではなく、GitHub Secrets、サーバー側の環境変数、管理画面の安全な保存場所などを使います。ただし、保存場所の名前だけでなく、誰が見られるか、ログに出ないか、PRに混ざらないかも確認します。Codexには値そのものを渡さず、扱い方だけを指示します。
比較表
| 渡さない | APIキー、秘密鍵、DBパスワード、.env |
|---|---|
| 出たら止める | 公開、push、merge、共有 |
| 次にやる | 無効化、再発行、影響確認 |
確認チェックリスト
- 対象URLと対象ファイルを確認した
- 触らないファイルと停止条件を決めた
- 秘密情報や認証情報を入力していない
- 差分、リンク、スマホ表示、SEOタグを人間が確認した
- 仕様や画面の最新情報が必要な場合は提供元の情報も確認する