前言这两年有两个变化做安全或开发的同学应该都有体感AI 办公普及日志、配置、客户资料被直接粘贴进 ChatGPT、文心一言、豆包等对话框的情况越来越多误发 API Key、数据库连接串的风险明显上升。前端暴露面排查仍较分散硬编码密钥、调试接口、不该出现在浏览器侧的 API 路径往往要借助多个工具才能发现。企业级 DLP 部署重、成本高纯手工 grep 又跟不上日常节奏。最近注意到 GitHub 上有一个叫 Hx0 DataGuardHx0 数据卫士 的浏览器扩展把「页面暴露面扫描」和「输入防泄漏」放在浏览器里本地运行。项目地址https://github.com/asaotomo/Hx0-DataGuard本文基于其公开 README 与 v1.0.3 更新说明做一次功能梳理和使用场景分析供同行参考。工具定位Hx0 数据卫士 Hx0 DataGuard 是一款 Chrome / Firefox 浏览器扩展核心思路可以概括为两条线方向能力典型对象往外看页面敏感信息检测、API 路径发现DOM、内联脚本、外链 JS、HTML 注释往里守输入防泄漏AI 对话框、表单、聊天输入框官方强调 本地计算为主扫描结果默认保存在本机不上传页面正文无需注册账号即可使用基础流程。这一点对在意数据外泄的测试/办公场景比较重要但具体隐私策略仍以扩展内《用户协议与隐私政策》为准。官方说明工具输出仅供辅助研判与安全自检不能替代正式渗透测试、代码审计或合规结论。核心模块拆解1. 页面敏感信息检测对当前页面的 DOM、脚本、注释做规则匹配找出疑似明文暴露的敏感数据例如手机号、身份证号API Key、Token其他可自定义规则v1.0.3 的一个实用改进是命中结果会标注具体来源——主文档、内联脚本、外链 JS、HTML 注释等分开显示长文件名可悬停查看完整路径复制按钮复制的是原始命中值便于二次验证。规则中心新增了「页面注释」分类默认开启专门扫描 HTML 注释里的凭据、环境变量、TODO/FIXME 等线索。这类信息在真实项目里并不少见开发阶段注释里留连接串、测试账号的情况时有发生。2. API 检测与探测从页面及外链 JavaScript 中提取 API 路径、Webhook、内网地址等接口线索例如/api/admin/、/internal/debug这类不应轻易暴露在前端的路径。v1.0.3 在探测侧增加了更细的控制项批量 HTTP 探测可配置 间隔、并发数、单条超时支持勾选「携带 Cookie」并可预览请求包中的 Cookie 头结果可导出 JSON / Markdown / CSV对授权范围内的安全测试来说这相当于在浏览器里做一轮轻量级的前端资产梳理不必每次都搭完整工具链。但需要注意命中不等于漏洞注释诱饵、测试样例、Webpack 打包后的混淆字符串都可能产生误报必须人工复核。3. 输入防泄漏在用户输入或粘贴内容、点击发送之前对文本做敏感信息识别支持轻提醒 / 标准 / 强拦截 三档力度对常用 AI 站点做了适配优化剪切板粘贴监测粘贴前确认白名单与 24 小时免打扰v1.0.3 改进了复杂 AI 站点与自定义输入框的覆盖输入停顿时右上角展示全部命中对勾选「是否拦截」的规则发送时会居中弹窗拦截。从机制上看这更接近 客户端 DLP 的轻量实现适合个人办公防护而不是替代企业级通道管控。4. 规则中心内置常见敏感信息规则支持按分类开关自定义规则规则导入 / 导出团队若有统一的敏感数据识别规范可以把规则导出共享减少各自为政。5. 报告导出扫描完成后可导出 HTML、Markdown、JSON 格式报告便于留存、汇报或交给开发跟进修复。对做等保、数据安全自查、甲方交付材料的场景报告导出比截图更规范。典型使用场景个人理解场景 A与 AI 对话时的误发防护实际工作中把报错日志贴进 AI 问问题太常见了。日志里混进 Key、内网 IP、用户手机号的情况人工逐行脱敏既慢又容易漏。开启「输入与发送监测」后扩展会在发送前扫描内容。若只是提醒模式用户仍可自行判断若开启强拦截则直接阻止发送。登录页输入框默认排除避免干扰正常认证流程。场景 B授权范围内的前端暴露面排查安全测试人员在已获得书面授权的目标上可以打开目标页面执行「扫描当前页面敏感信息和 API」在侧栏分别查看「页面敏感信息」和「API 检测」结果复核后导出报告相比单独用 Burp 手工搜 JS 正则 grep浏览器内一键扫描的学习成本更低适合快速过一遍页面。深度测试仍需要专业工具配合。场景 C上线前的开发自检联调或上线前开发/测试同学可以快速扫一眼当前页面及引用脚本里是否残留测试 Key、内网地址、真实用户数据。早发现比上线后被扫到再救火成本低得多。安装方式项目提供两种安装路径信息来自 GitHub README方式一Chrome 应用商店当前版本 1.0.3支持 Edge、Brave 等 Chromium 内核浏览器方式二离线安装包 离线安装包国内GitHub Releases 页面提供Chrome 系Hx0-DataGuard-chrome-*.crxFirefoxHx0-DataGuard-firefox-*.xpiAMO 商店审核中目前以离线包为主内网或无法访问应用商店的环境可以用离线包装。离线版不会自动更新需关注 Releases 手动升级。使用流程简述安装后点击扩展图标阅读并同意用户协议若界面显示 用户 ID建议立即备份无注册模式下用于会员权益找回打开目标页面 → 点击「扫描当前页面敏感信息和 API」→ 侧栏查看结果需要输入防护时在弹窗开启「输入与发送监测」/「剪切板粘贴监测」扫描完成后到侧栏「报告」页导出v1.0.3 更新要点相对 1.0.2模块变化页面/JS 扫描命中来源细分、原始值复制规则中心新增「页面注释」分类API 探测可配置间隔/并发/超时Cookie 预览多格式导出输入防泄漏AI 站点适配、全量命中展示、拦截弹窗体验Firefox 侧栏报告导出修复、多语言 Toast、Chrome 下载权限优化小结Hx0 DataGuard 试图解决的是一个很实际的问题把前端暴露面快速梳理和日常输入防泄漏收敛到浏览器这一个入口里本地运行、开箱可用。对个人安全从业者、开发测试同学来说它更像是一个日常辅助工具适合AI 办公场景下的误发提醒授权项目的前端快速自检轻量级 API 路径资产收集不适合作为企业级 DLP 的替代品正式渗透测试的唯一工具无需人工复核的自动化判漏洞方案