Jag byggde en git pre-push hook som använder en LLM för att skanna dina diffar efter hemligheter innan de ens lämnar maskinen. Så här fungerar 🧵 det

När du kör git push avfyras kroken först. Den tar reda på vad som är nytt – antingen alla commits på en ny branch, eller bara de nya commits på en befintlig – och genererar en git diff av exakt vad som är på väg att släppas.

Den skillnaden skickas till Kimi CLI med en strikt begränsad prompt. Modellen instrueras att svara med EXAKT en av två strängar: SAFE_TO_PUSH eller BLOCK_PUSH.

Den skannar efter de vanliga misstänkta: - API-nycklar (OpenAI, Anthropic, AWS...) - Lösenord och autentiseringstoken - Privata nycklar (SSH, SSL, JWT hemligheter) - DB-anslutningssträngar med creds - .env-filer som smög sig in i en commit

Om det kommer tillbaka BLOCK_PUSH, lämnar kroken 1 — trycket avvisas, och du ser exakt vilka linjer som utlöste det, plus en svårighetsgrad. Fixa det, tryck sedan igen.

Det fina med att använda en LLM här istället för regex-mönster: den förstår kontexten. En regex för "sk-" fångar OpenAI-nycklar men saknar en anpassad intern token som heter PROD_SECRET. Modellen fångar båda.