P1
不记录 secrets
默认日志不应包含 request bodies、Authorization headers、API keys 和私有 prompts。
ProxAI 是本地兼容代理。这让它适合调试,但也意味着本地文件可能包含 provider 配置、请求元数据、capture payload 和诊断信息。
| 产物 | 隐私预期 | 是否提交 |
|---|---|---|
config.toml | 本地运行时配置;可能包含 provider URL、API key 引用、route 选择或本地设置。 | 否 |
config.example.toml | 已跟踪示例和文档来源;必须保持脱敏和通用。 | 是 |
captures/ | 用于调试的请求/响应 phase payload;可能包含私有 prompt 和工具数据。 | 否 |
logs/ | 本地诊断;默认应紧凑且不含 body,但仍可能暴露运行上下文。 | 否 |
| 生成的站点输出 | 静态文档构建产物。 | 通常否,除非有意配置 |
默认日志不应包含 request bodies、Authorization headers、API keys 和私有 prompts。
只开启最小有用 phase:inbound_request、provider_request、upstream_response 或 outbound_response。
如果隐私行为不确定,先检查实现和测试,再写入文档或分享假设。
优先分享症状、状态码、phase 名称、错误类型、脱敏 headers 和裁剪后的 payload 结构,而不是完整私有 capture。
目标: 限制私有数据暴露面。
验证: 该 capture 能回答问题,不需要完整 request lifecycle。
| 通常有用 | 避免或脱敏 |
|---|---|
| ProxAI 版本、OS、不含 secrets 的命令形态 | API keys、bearer tokens、完整环境变量 dump |
| 入站协议和请求 path | 完整 prompt 或私有文件片段 |
| 脱敏后的 provider protocol 和 route name/pattern | 私有 provider 账号细节或内部 URL |
错误类型、HTTP status、Retry-After 等安全保留 header | 如果包含 prompt 或账号数据,不要分享完整 upstream error body |
| 带 placeholder 的最小 JSON shape | 未经审查和脱敏的完整 captures |
精确本地路径和忽略产物见 环境与文件。Phase 名称见 Capture phases。