Hook Secret Scanner — detecta API keys de 30+ providers pre-commit (724 installs)

Qué es#

Antes de cada git commit, el hook scanea los archivos staged buscando patterns de secrets:

• Anthropic: sk-ant-...
• OpenAI: sk-...
• AWS: AKIA...
• Stripe: sk_live_..., pk_live_...
• GitHub: ghp_..., gho_...
• Slack: xoxb-...
• ...y 25+ más

Si encuentra match, bloquea el commit.

Hook event: PreToolUse (Bash con git commit).

Tabla resumen#

Cómo se instala#

npx claude-code-templates@latest --hook security/secret-scanner

Para Claude:

Instalé el hook security/secret-scanner. Listame los 30+ providers
que detecta. Probá: agregame un fake AKIA... en un archivo y commitealo —
debería bloquearse.

Qué podés hacer con esto#

Anti-leak antes de push#

Una sola vez que filtrás un sk-ant- o AWS key a un repo público es suficiente para drenar tu cuenta. El hook lo previene.

Para repos públicos / open source#

Especialmente crítico. Una vez que un secret fue commiteado, está en git history para siempre — incluso si después lo borrás del archivo.

Combo con Env File Protection#

Env File Protection evita escribir secrets a .env. Secret Scanner evita que se commiteen en cualquier archivo. Doble red.

Combo con Security Scanner#

Secret Scanner es específico (secrets). Security Scanner es más amplio (vulns + secrets + más). Combinables.

Cuándo NO conviene#

Bajalo de la fuente#

• Ficha en aitmpl.com: Secret Scanner Hook — comando exacto.
• Config JSON: secret-scanner.json.

Recursos relacionados#

• Env File Protection Hook — para evitar Write a .env.
• Security Scanner Hook — scan amplio post-edit.
• Dangerous Command Blocker Hook — para comandos destructivos.