API Key 一旦泄露,别人可以用你的额度发请求,轻则余额被刷空,重则账号被封。
常见泄露方式
- 把 Key 直接写在代码里,然后提交到 GitHub。
- 在前端 JS 里直接调用 API(浏览器可以看到 Key)。
- 把 Key 发在截图、聊天记录里。
正确做法
用环境变量存储:
# .env 文件
OPENAI_API_KEY=sk-xxxxxxxximport os
api_key = os.environ.get("OPENAI_API_KEY")把 .env 加入 .gitignore:
.env
.env.local前端项目:API 调用必须放在后端,不要在浏览器端直接请求。
发现泄露怎么办
立即在控制台撤销该 Key,生成新 Key,检查用量记录是否有异常消费。