Hook Env File Protection — bloquea Write a .env files

Qué es#

Antes de cualquier Write tool call, el hook chequea si el target es un archivo .env* (.env, .env.local, .env.production, etc.). Si sí, bloquea.

Filtrado determinístico, costo cero (no usa LLM). Hook event: PreToolUse.

Resuelve un riesgo concreto: Claude por error reescribe tu .env con valores inventados, perdés todas tus credenciales reales.

Tabla resumen#

Cómo se instala#

npx claude-code-templates@latest --hook security/env-file-protection

Para Claude:

Instalé el hook security/env-file-protection. Probá: pedile a Claude
que cree o sobreescriba `.env.local` con un valor — debería bloquearse.

Qué podés hacer con esto#

Defense in depth para secrets#

Cualquier sesión Claude Code. Cero costo, alta protección.

Para sesiones autónomas#

Si dejás Claude corriendo con /goal, este hook evita que sobreescriba secrets sin querer.

Combo con Dangerous Command Blocker y File Protection#

Cobertura por capas: comandos peligrosos + files de sistema + .env files. Triple red.

Cuándo NO conviene#

Bajalo de la fuente#

• Ficha en aitmpl.com: Env File Protection Hook — comando exacto.
• Config JSON: env-file-protection.json.

Recursos relacionados#

• File Protection Hook — para más archivos críticos en general.
• Dangerous Command Blocker Hook — para comandos shell destructivos.
• Claude Code Best Practices — security defaults.