KeyFinder

被动式 API 密钥与密钥发现工具（适用于 Chrome 和 Firefox）

---

KeyFinder 是一款适用于 Chrome 和 Firefox 的浏览器扩展，能够被动式地扫描你访问的每一个页面，寻找泄露的 API 密钥、令牌、密钥和凭据。它在后台静默运行，无需任何配置。 ## 检测内容 KeyFinder 内置 **80+ 种检测模式**，覆盖以下来源的密钥： | 类别 | 提供方 | |----------|-----------| | **云服务** | AWS（访问密钥、秘密密钥、会话令牌、Cognito）、Google Cloud（API 密钥、OAuth、服务账号）、Azure（存储密钥、SAS 令牌、连接字符串） | | **源代码控制** | GitHub（个人访问令牌、OAuth、细粒度令牌）、GitLab（个人访问令牌、流水线令牌、运行器令牌）、Bitbucket | | **支付** | Stripe（秘密密钥、发布密钥、受限密钥、Webhook）、PayPal Braintree、Square | | **通信** | Slack（机器人令牌、用户令牌、应用令牌、Webhook）、Discord（机器人令牌、Webhook）、Telegram、Twilio、SendGrid | | **AI / 机器学习** | OpenAI、Anthropic、HuggingFace、Replicate | | **数据库** | MongoDB、PostgreSQL、MySQL、Redis 连接字符串 | | **SaaS** | Shopify、Sentry、New Relic、PlanetScale、Linear、Notion、Datadog、Algolia、Mapbox | | **基础设施** | HashiCorp Vault、Terraform、Docker Hub、NPM、Cloudflare、DigitalOcean、Doppler、Pulumi、Grafana | | **加密货币** | RSA、EC、OpenSSH、PGP、DSA 私钥 | | **通用** | JWT、承载令牌、基本认证、API 密钥分配、凭证 URL、高熵字符串 | ## 工作原理 KeyFinder 在每个页面扫描 **10 个不同的攻击面**： 1. **脚本 `src` URL** — 检查所有脚本源 URL 中的关键词与令牌（查询参数） 2. **内联脚本** — 扫描 `