浏览器端敏感信息检测实践:Hx0 数据卫士(Hx0 DataGuard)功能梳理与使用体会
前言
这两年有两个变化,做安全或开发的同学应该都有体感:
- AI 办公普及:日志、配置、客户资料被直接粘贴进 ChatGPT、文心一言、豆包等对话框的情况越来越多,误发 API Key、数据库连接串的风险明显上升。
- 前端暴露面排查仍较分散:硬编码密钥、调试接口、不该出现在浏览器侧的 API 路径,往往要借助多个工具才能发现。
企业级 DLP 部署重、成本高;纯手工 grep 又跟不上日常节奏。最近注意到 GitHub 上有一个叫 Hx0 DataGuard(Hx0 数据卫士) 的浏览器扩展,把「页面暴露面扫描」和「输入防泄漏」放在浏览器里本地运行。
项目地址:https://github.com/asaotomo/Hx0-DataGuard
本文基于其公开 README 与 v1.0.3 更新说明,做一次功能梳理和使用场景分析,供同行参考。
工具定位
Hx0 数据卫士 (Hx0 DataGuard )是一款 Chrome / Firefox 浏览器扩展,核心思路可以概括为两条线:
| 方向 | 能力 | 典型对象 |
|---|---|---|
往外看 | 页面敏感信息检测、API 路径发现 | DOM、内联脚本、外链 JS、HTML 注释 |
往里守 | 输入防泄漏 | AI 对话框、表单、聊天输入框 |
官方强调 本地计算为主:扫描结果默认保存在本机,不上传页面正文,无需注册账号即可使用基础流程。这一点对在意数据外泄的测试/办公场景比较重要,但具体隐私策略仍以扩展内《用户协议与隐私政策》为准。
官方说明:工具输出仅供辅助研判与安全自检,不能替代正式渗透测试、代码审计或合规结论。
核心模块拆解
1. 页面敏感信息检测
对当前页面的 DOM、脚本、注释做规则匹配,找出疑似明文暴露的敏感数据,例如:
- 手机号、身份证号
- API Key、Token
- 其他可自定义规则
v1.0.3 的一个实用改进是:命中结果会标注具体来源——主文档、内联脚本、外链 JS、HTML 注释等分开显示;长文件名可悬停查看完整路径;复制按钮复制的是原始命中值,便于二次验证。
规则中心新增了「页面注释」分类(默认开启),专门扫描 HTML 注释里的凭据、环境变量、TODO/FIXME 等线索。这类信息在真实项目里并不少见,开发阶段注释里留连接串、测试账号的情况时有发生。
2. API 检测与探测
从页面及外链 JavaScript 中提取 API 路径、Webhook、内网地址等接口线索,例如/api/admin/、/internal/debug这类不应轻易暴露在前端的路径。
v1.0.3 在探测侧增加了更细的控制项:
- 批量 HTTP 探测可配置 间隔、并发数、单条超时
- 支持勾选「携带 Cookie」,并可预览请求包中的 Cookie 头
- 结果可导出 JSON / Markdown / CSV
对授权范围内的安全测试来说,这相当于在浏览器里做一轮轻量级的前端资产梳理,不必每次都搭完整工具链。但需要注意:命中不等于漏洞,注释诱饵、测试样例、Webpack 打包后的混淆字符串都可能产生误报,必须人工复核。
3. 输入防泄漏
在用户输入或粘贴内容、点击发送之前,对文本做敏感信息识别,支持:
- 轻提醒 / 标准 / 强拦截 三档力度
- 对常用 AI 站点做了适配优化
- 剪切板粘贴监测(粘贴前确认)
- 白名单与 24 小时免打扰
v1.0.3 改进了复杂 AI 站点与自定义输入框的覆盖;输入停顿时右上角展示全部命中;对勾选「是否拦截」的规则,发送时会居中弹窗拦截。
从机制上看,这更接近 客户端 DLP 的轻量实现,适合个人办公防护,而不是替代企业级通道管控。
4. 规则中心
内置常见敏感信息规则,支持:
- 按分类开关
- 自定义规则
- 规则导入 / 导出
团队若有统一的敏感数据识别规范,可以把规则导出共享,减少各自为政。
5. 报告导出
扫描完成后可导出 HTML、Markdown、JSON 格式报告,便于留存、汇报或交给开发跟进修复。对做等保、数据安全自查、甲方交付材料的场景,报告导出比截图更规范。
典型使用场景(个人理解)
场景 A:与 AI 对话时的误发防护
实际工作中,把报错日志贴进 AI 问问题太常见了。日志里混进 Key、内网 IP、用户手机号的情况,人工逐行脱敏既慢又容易漏。
开启「输入与发送监测」后,扩展会在发送前扫描内容。若只是提醒模式,用户仍可自行判断;若开启强拦截,则直接阻止发送。登录页输入框默认排除,避免干扰正常认证流程。
场景 B:授权范围内的前端暴露面排查
安全测试人员在已获得书面授权的目标上,可以:
- 打开目标页面
- 执行「扫描当前页面敏感信息和 API」
- 在侧栏分别查看「页面敏感信息」和「API 检测」结果
- 复核后导出报告
相比单独用 Burp + 手工搜 JS + 正则 grep,浏览器内一键扫描的学习成本更低,适合快速过一遍页面。深度测试仍需要专业工具配合。
场景 C:上线前的开发自检
联调或上线前,开发/测试同学可以快速扫一眼:当前页面及引用脚本里是否残留测试 Key、内网地址、真实用户数据。早发现比上线后被扫到再救火成本低得多。
安装方式
项目提供两种安装路径(信息来自 GitHub README):
方式一:Chrome 应用商店(当前版本 1.0.3,支持 Edge、Brave 等 Chromium 内核浏览器)
方式二:离线安装包 离线安装包(国内)
GitHub Releases 页面提供:
- Chrome 系:
Hx0-DataGuard-chrome-*.crx - Firefox:
Hx0-DataGuard-firefox-*.xpi(AMO 商店审核中,目前以离线包为主)
内网或无法访问应用商店的环境,可以用离线包装。离线版不会自动更新,需关注 Releases 手动升级。
使用流程简述
- 安装后点击扩展图标,阅读并同意用户协议
- 若界面显示 用户 ID,建议立即备份(无注册模式下用于会员权益找回)
- 打开目标页面 → 点击「扫描当前页面敏感信息和 API」→ 侧栏查看结果
- 需要输入防护时,在弹窗开启「输入与发送监测」/「剪切板粘贴监测」
- 扫描完成后到侧栏「报告」页导出
v1.0.3 更新要点(相对 1.0.2)
| 模块 | 变化 |
|---|---|
页面/JS 扫描 | 命中来源细分、原始值复制 |
规则中心 | 新增「页面注释」分类 |
API 探测 | 可配置间隔/并发/超时,Cookie 预览,多格式导出 |
输入防泄漏 | AI 站点适配、全量命中展示、拦截弹窗 |
体验 | Firefox 侧栏报告导出修复、多语言 Toast、Chrome 下载权限优化 |
小结
Hx0 DataGuard 试图解决的是一个很实际的问题:把前端暴露面快速梳理和日常输入防泄漏,收敛到浏览器这一个入口里,本地运行、开箱可用。
对个人安全从业者、开发测试同学来说,它更像是一个日常辅助工具,适合:
- AI 办公场景下的误发提醒
- 授权项目的前端快速自检
- 轻量级 API 路径资产收集
不适合作为:
- 企业级 DLP 的替代品
- 正式渗透测试的唯一工具
- 无需人工复核的自动化判漏洞方案