Secreto hardcodeado en n8n
Por qué las claves API y tokens en parámetros de nodos son un riesgo crítico de seguridad
¿Qué es este problema?
Un secreto hardcodeado es una clave API, contraseña o token incrustado directamente en un nodo de workflow en lugar de almacenarlo de forma segura en el sistema de credenciales de n8n. Patrones comunes incluyen strings que comienzan con sk-, xoxb-, ghp_, AIza y prefijos similares.
Patrones de secretos comunes detectados:
•sk-... (claves API de OpenAI, Stripe)•xoxb-... (tokens de bots de Slack)•ghp_... (personal access tokens de GitHub)•AIza... (claves API de Google)
¿Por qué es peligroso?
Exposición de acceso API completo
Cualquiera que vea el workflow tiene tu clave API con permisos completos a ese servicio.
Riesgos de exportación
Los archivos JSON exportados contienen secretos en texto plano, fáciles de compartir accidentalmente.
Exposición en control de versiones
Los secretos en historial de Git persisten para siempre, incluso después de borrarlos de la versión actual.
Dificultad de rotación
Cuando necesitas rotar claves, debes encontrar y actualizar cada workflow manualmente.
Cómo solucionarlo
- 1
Mover a credenciales n8n
Crea una credencial apropiada en Configuración → Credenciales para cada secreto. n8n las encripta en reposo.
- 2
Actualizar configuración del nodo
Cambia el nodo para referenciar la credencial en lugar del valor hardcodeado.
- 3
Rotar secretos comprometidos
Si el workflow fue compartido o subido, considera el secreto comprometido. Genera uno nuevo.
- 4
Auditar todos los workflows
Usa Audit8n para escanear todos tus workflows buscando secretos hardcodeados sistemáticamente.
Escanea tu workflow ahora
Sube tu archivo JSON de n8n y detecta instantáneamente cualquier clave API, token o secreto hardcodeado.