AI 编程工具的安全配置:防止敏感代码被索引上传
2026-06-06cursor · claude-code · copilot · 安全 · 合规 · 隐私
使用 AI 编程工具时,一个容易被忽视的问题是代码隐私。AI 工具通常需要读取项目文件来提供上下文,但如果不对读取范围加以限制,敏感信息(如 .env 中的密钥、商业逻辑代码、数据库备份)可能被意外上传到外部服务器。
本文介绍如何在 Cursor 和 Claude Code 中配置安全边界,在享受 AI 提效的同时保护代码资产。
一、Cursor:配置 .cursorignore
注意:.gitignore 只能阻止 Git 提交,不能阻止 Cursor 的 AI 引擎读取文件。需要单独创建 .cursorignore 文件来指定 AI 不可读取的内容。
在项目根目录创建 .cursorignore:
text
# 敏感配置与密钥
.env*
*.local.json
/secrets/
/credentials/
# 数据库与备份
*.sqlite
*.sqlite3
/backups/
/dumps/
# 依赖与构建产物(节约 Token + 防止索引卡死)
node_modules/
.next/
dist/
build/
# 大型静态资源
/public/uploads/
*.zip
*.tar.gz注意:
.cursorignore 的语法与 .gitignore 相同。文件创建后需要重启 Cursor 才能生效。二、Claude Code:安全配置
Claude Code 支持在 CLAUDE.md 或 settings.json 中配置读取权限限制。以下配置告诉 Claude Code 拒绝读取敏感文件,并对危险写操作请求人工确认:
markdown
# CLAUDE.md 安全声明
## 文件访问限制
- 禁止读取 .env 及 .env.* 文件
- 禁止读取 /secrets/ 目录下的任何文件
- 禁止读取 *.sqlite 及数据库备份文件
## 操作限制
- 对 /src 目录外的写操作需要人工确认
- 删除文件操作需要人工确认
- 执行 `git push --force` 等危险 Git 操作需要人工确认三、关闭代码训练(隐私模式)
Cursor 隐私设置
- 打开 Cursor → Settings → General → Privacy Mode
- 将 Privacy Mode 切换为 Enabled
- 开启后,你的代码片段和输入不会被用于模型训练
补充说明:通过 Anthropic / OpenAI 官方 API 提交的数据,根据其服务条款默认不参与模型训练。如果你使用的是企业版或 Team 版订阅,通常享有更强的数据隐私保护。
GitHub Copilot 隐私设置
如果你同时使用 Copilot:
- GitHub Settings → Copilot → 取消勾选 "Allow GitHub to use my code snippets for product improvement"
- 企业版用户可以要求管理员在组织层面关闭此选项
四、安全配置清单
以下是一个可操作的检查清单,建议在新项目中逐项完成:
| 级别 | 配置项 | 适用工具 |
|---|---|---|
| 基础 | .cursorignore 屏蔽敏感文件 | Cursor |
| 基础 | CLAUDE.md 声明文件访问限制 | Claude Code |
| 强化 | Privacy Mode 开启 | Cursor |
| 强化 | Copilot 代码收集关闭 | Copilot |
| 审计 | .cursorignore 和 .gitignore 定期同步 | 全部 |
五、常见疑问
Q: .cursorignore 和 .gitignore 有什么区别?
.gitignore 控制 Git 的版本追踪范围,.cursorignore 控制 Cursor AI 的文件读取范围。两者互不影响。同时配置两个文件是最佳实践。
Q: 开启 Privacy Mode 后 AI 补全质量会下降吗?
不会。Privacy Mode 只阻止代码被用于模型训练,不影响 AI 读取项目上下文和生成补全的能力。