我完全懂你这种困扰——公开HuggingFace Spaces默认会把所有推送到仓库的代码暴露出来，你试过的几种方法确实都没法直接解决源代码隐藏的问题：Google Actions带token但代码还是会同步到空间仓库里，Git LFS只针对大模型文件，Secrets也只能用来存API密钥这类敏感信息，管不了业务逻辑代码。

结合社区里的实践，这里有两个可行的思路可以试试：

• 将核心代码部署为外部私有API：把你不想公开的核心功能（比如关键算法、业务逻辑）部署到自己的服务器、云函数或者无服务器平台上，然后在HuggingFace Spaces的公开代码里只保留调用这个外部API的逻辑。记得给你的外部API加上鉴权机制，比如用HuggingFace的Secrets存储API密钥，在调用时带上密钥验证，防止被恶意调用。这样别人只能看到API调用的代码，看不到核心功能的实现细节。

• 用私有镜像封装核心代码：把包含核心代码的应用打包成私有Docker镜像，上传到私有镜像仓库（比如Docker Hub私有库、AWS ECR等）。然后在HuggingFace Spaces的公开仓库里只放一个简单的Dockerfile或者启动脚本，用来拉取你的私有镜像并运行。同时在Spaces的Secrets里配置私有镜像仓库的访问凭证（比如用户名、密码或者token），这样Spaces就能正常拉取镜像，而别人看不到镜像里的核心代码。

另外要注意，HuggingFace Spaces的公开仓库里所有文件都是公开可访问的，所以任何放在这个仓库里的代码、配置都没法真正隐藏，必须把核心逻辑移出这个仓库才能实现隐藏。

备注：内容来源于stack exchange，提问作者Esraa Abdelmaksoud