ปัจจุบัน OpenAI ไม่ได้ให้คุณสมบัติในตัวเพื่อ จำกัด การเข้าถึงคีย์ API โดยตรงไปยังที่อยู่ IP หรือโดเมนที่เฉพาะเจาะจง ซึ่งหมายความว่ามันเป็นไปไม่ได้ภายในแพลตฟอร์ม OpenAI เองเพื่อกำหนดค่าปุ่ม API เพื่อรับคำขอที่มาจาก IPS หรือโดเมนเว็บบางรายการเท่านั้น
ท่าทางอย่างเป็นทางการเกี่ยวกับข้อ จำกัด ด้าน IP และโดเมน
ฟังก์ชั่นระบบคีย์ API ของ OpenAI โดยการออกคีย์ที่เป็นโทเค็นผู้ถือที่ให้การเข้าถึง API คีย์เหล่านี้มีไว้เพื่อให้เป็นความลับและใช้อย่างปลอดภัย แต่ไม่มีวิธีการโดยตรงในการอนุญาตที่อยู่ IP หรือโดเมนสำหรับการใช้งานที่สำคัญ การรับรองความถูกต้องของคีย์ API ไม่สนับสนุนข้อ จำกัด ของโดเมนหรือการออกโทเค็นตามตัวตนของลูกค้าหรือตำแหน่งเครือข่าย ข้อ จำกัด นี้จะควบคุมโดยตรงว่าต้นกำเนิดหรือเซิร์ฟเวอร์ใดได้รับอนุญาตให้ทำการร้องขอโดยใช้คีย์ API ของคุณดังนั้นคีย์ API นั้นใช้ได้อย่างมีประสิทธิภาพจาก IP หรือโดเมนใด ๆ ที่มีคนมีคีย์
แนวทางปฏิบัติทั่วไปและคำแนะนำเพื่อรักษาความปลอดภัยการใช้งาน API คีย์
เนื่องจาก OpenAI ไม่ได้เสนอข้อ จำกัด ด้าน IP หรือโดเมนเกี่ยวกับคีย์ API นักพัฒนาจึงใช้กลยุทธ์ทางสถาปัตยกรรมและการดำเนินงานเพื่อรักษาความปลอดภัยคีย์ API และ จำกัด การใช้งาน:
- ใช้พร็อกซีเซิร์ฟเวอร์แบ็กเอนด์: แทนที่จะเรียก OpenAI API โดยตรงจากแอปพลิเคชันฝั่งไคลเอ็นต์ (เช่นเบราว์เซอร์) ช่องคำขอ API ทั้งหมดผ่านเซิร์ฟเวอร์แบ็กเอนด์ที่คุณควบคุม สิ่งนี้ช่วยให้คุณสามารถ:
- จำกัด การใช้คีย์ API สำหรับแบ็กเอนด์ของคุณเอง
- เก็บความลับสำคัญของ API และปิดด้านลูกค้า
- ใช้การควบคุมการเข้าถึงฝั่งเซิร์ฟเวอร์เช่นการอนุญาตให้ใช้งาน IP บนแบ็กเอนด์ของคุณเอง
- บันทึกและตรวจสอบการใช้งานเพื่อตรวจจับการละเมิด
- การหมุนและการตรวจสอบคีย์ API: หมุนคีย์ API เป็นระยะและตรวจสอบรูปแบบการใช้งาน หากตรวจพบกิจกรรมหรือการรั่วไหลที่ผิดปกติให้เพิกถอนปุ่มที่ถูกบุกรุกทันทีและสร้างใหม่
- การ จำกัด อัตราและการร้องขอการควบคุมปริมาณ: ใช้ขีด จำกัด อัตราบนแบ็กเอนด์ของคุณเพื่อ จำกัด จำนวนคำขอที่ผู้ใช้หรือ IP คนเดียวสามารถทำได้ในหน้าต่างเวลาที่กำหนด สิ่งนี้จะช่วยลดการละเมิดหากกุญแจรั่วไหลหรือใช้ในรูปแบบที่ไม่ได้ตั้งใจ
- ใช้การรับรองความถูกต้องและการอนุญาตในแอพของคุณ: ใช้การรับรองความถูกต้องของผู้ใช้ในแอปพลิเคชันของคุณเพื่อให้ผู้ใช้ที่ได้รับอนุญาตเท่านั้นสามารถขอ API ได้ สิ่งนี้จะเพิ่มเลเยอร์ของการควบคุมนอกเหนือจากคีย์ API เอง
- พร็อกซีเซิร์ฟเวอร์หรือโฮสต์ Bastion: นักพัฒนาบางคนตั้งค่าเครือข่ายป้อมปราการที่ปลอดภัยหรือเซิร์ฟเวอร์พร็อกซี API ซึ่งทำหน้าที่เป็นตัวกลางระหว่างลูกค้าของพวกเขาและ OpenAI API พวกเขาเพิ่มเลเยอร์ควบคุมเพิ่มเติมรวมถึงการกรอง IP ก่อนส่งต่อคำขอโดยใช้คีย์ API
คำติชมของชุมชนและข้อ จำกัด ที่รู้จัก
- การอภิปรายหลายครั้งในฟอรัมชุมชน Openai ยืนยันว่าไม่มีการสนับสนุนในปัจจุบันสำหรับการอนุญาตให้ใช้งาน ip Whitelisting หรือโดเมนสำหรับคีย์ OpenAI API โดยตรงจาก OpenAI คำตอบสั้น ๆ จากการตอบสนองอย่างเป็นทางการและชุมชนคือ "ไม่" เมื่อถูกถามว่าคุณสามารถ จำกัด คีย์ API ไปยังที่อยู่ IP หรือโดเมนที่เฉพาะเจาะจงได้หรือไม่
- ผู้ใช้บางคนได้ใช้เลเยอร์พร็อกซีหรือบริการแบ็กเอนด์ของตนเองเพื่อบังคับใช้ผู้ทำ ip Whitelists และการ จำกัด อัตรา แต่นี่อยู่นอกการจัดการคีย์ API ของ OpenAi
- ปัญหาเกี่ยวกับการละเมิดคีย์ API มักจะเกิดขึ้นเมื่อคีย์ถูกเปิดเผยในรหัสฝั่งไคลเอ็นต์หรือสภาพแวดล้อมที่เข้าถึงได้สาธารณะ คำแนะนำทั่วไปคือการหลีกเลี่ยงการเปิดเผยฝั่งไคลเอ็นต์ที่สำคัญและใช้การควบคุมฝั่งเซิร์ฟเวอร์
- OpenAI ให้การจัดการสิทธิ์บางอย่างที่ช่วยให้สามารถควบคุมแบบจำลองใดที่คีย์สามารถเข้าถึงหรือตั้งค่าขีด จำกัด การใช้งาน แต่สิ่งเหล่านี้ไม่ได้ขยายไปถึงเครือข่ายหรือข้อ จำกัด ที่มา
การพัฒนาในอนาคตที่มีศักยภาพ
OpenAI มีแผนหรือข้อเสนอที่กล่าวถึงในข้อเสนอแนะของชุมชนเกี่ยวกับการเพิ่มการควบคุมที่ละเอียดยิ่งขึ้นให้กับคีย์ API รวมถึงข้อ จำกัด ของโดเมนที่เป็นไปได้หรือคีย์ที่มีผลผูกพันกับแอพหรือบริการที่เฉพาะเจาะจง แต่ ณ ตอนนี้คุณลักษณะเหล่านี้ไม่ได้ใช้งาน
วิธีการทางเลือกเพื่อรักษาความปลอดภัยการใช้งาน API
- IP Allowlisting ผ่านโครงสร้างพื้นฐาน: หากคุณต้องการ จำกัด ผู้ที่สามารถโทรหาบริการแบ็กเอนด์ของคุณที่เรียกว่า OpenAI ให้ตั้งค่า IP AllowLists บนโครงสร้างพื้นฐานของคุณเอง
-โทเค็นอายุสั้นผ่านการตรวจสอบความถูกต้องที่กำหนดเอง: ใช้เซิร์ฟเวอร์โทเค็นของคุณเองซึ่งออกโทเค็นที่มีอายุสั้นและกำหนดค่าให้กับลูกค้าของคุณจากนั้นแบ็กเอนด์ของคุณจะตรวจสอบโทเค็นเหล่านี้ก่อนที่จะโทร OpenAI API ด้วยวิธีนี้คุณควบคุมการเข้าถึงลูกค้าในระดับเม็ด
- การจัดการคีย์ API เฉพาะลูกค้า: สร้างคีย์ API หลายตัวสำหรับลูกค้าหรือบริการที่แตกต่างกันภายในองค์กรของคุณดังนั้นคุณสามารถเพิกถอนปุ่มแต่ละปุ่มได้อย่างรวดเร็วหากการประนีประนอมเกิดขึ้นลดรัศมีการระเบิด
ตัวอย่างการรักษาความปลอดภัยด้วยข้อ จำกัด พร็อกซีและ IP (แนวคิด)
1. แอปไคลเอนต์ส่งคำขอไปยังเซิร์ฟเวอร์แบ็กเอนด์ของคุณ
2. เซิร์ฟเวอร์แบ็กเอนด์รับรองความถูกต้องไคลเอนต์ (ขึ้นอยู่กับ IP, โทเค็น, การเข้าสู่ระบบของผู้ใช้ ฯลฯ )
3. เซิร์ฟเวอร์แบ็กเอนด์เรียก OpenAI API ด้วยคีย์ API (ไม่เปิดเผยกับลูกค้า)
4. เซิร์ฟเวอร์แบ็กเอนด์บังคับใช้ขีด จำกัด อัตราบันทึกการใช้งานและตรวจสอบการละเมิด
5. เป็นทางเลือกโครงสร้างพื้นฐานแบ็กเอนด์ (ไฟร์วอลล์, โหลดบาลานซ์) จำกัด ว่า IPS สามารถเชื่อมต่อกับแบ็กเอนด์ของคุณได้
การจัดการการรั่วไหลของคีย์ที่มีศักยภาพ
หากกุญแจรั่วไหลออกมา:
- ลบหรือปิดการใช้งานคีย์ที่ถูกบุกรุกออกจากแผงหน้าปัด OpenAI ทันที
- ออกคีย์ใหม่และอัปเดตแบ็กเอนด์ของคุณเพื่อใช้งาน
- ตรวจสอบว่าคีย์รั่วไหลและเสริมสร้างการควบคุมอย่างไร (เช่นไม่เคยฝังคีย์ในรหัสส่วนหน้า)
สรุป
- OpenAI ไม่รองรับการ จำกัด การใช้ API โดยที่อยู่ IP หรือโดเมนโดยตรง
- รักษาความปลอดภัยคีย์ของคุณโดยเก็บไว้ในเซิร์ฟเวอร์แบ็กเอนด์และไม่เปิดเผยต่อลูกค้า
- ใช้การควบคุมระดับเครือข่ายบนแบ็กเอนด์หรือโครงสร้างพื้นฐานพร็อกซีของคุณ
- ใช้การรับรองความถูกต้องระดับแอปพลิเคชันและการ จำกัด อัตราเพื่อลดการละเมิด
- หมุนและตรวจสอบคีย์เป็นประจำ
- ใช้พร็อกซีเซิร์ฟเวอร์หรือสถาปัตยกรรมป้อมปราการสำหรับเลเยอร์ความปลอดภัยเพิ่มเติม
- อัพเดทอยู่ในประกาศ OpenAI สำหรับคุณสมบัติการ จำกัด คีย์ที่กำลังจะมาถึง
วิธีการนี้ช่วยให้มั่นใจได้ว่าการรักษาความปลอดภัยที่ดีที่สุดในปัจจุบันเป็นไปได้ด้วยคีย์ OpenAI API แม้จะไม่มีข้อ จำกัด ด้าน IP หรือโดเมน จุดสนใจที่สำคัญคือความปลอดภัยทางสถาปัตยกรรมการปฏิบัติงานและการจัดการที่สำคัญ
จุดเหล่านี้ครอบคลุมสถานะของศิลปะในการควบคุมการเข้าถึงคีย์ OpenAI API เกี่ยวกับ IPS และโดเมนตามข้อเสนอแนะของชุมชนล่าสุดและข้อมูลอย่างเป็นทางการ ณ ปี 2568