استنادًا إلى نتائج البحث، إليك النقاط الرئيسية حول استخدام مفاتيح OpenAI API مع خوادم الرموز المميزة لتحسين الأمان:
تتمثل المخاوف الأمنية الرئيسية المتعلقة بمفاتيح OpenAI API في أنه إذا تم الكشف عن المفتاح، فيمكن لأي شخص استخدامه للوصول إلى حساب OpenAI الخاص بك وتحمل رسوم. وللتخفيف من هذه المخاطر، توصي نتائج البحث بعدة طرق:
1. استخدم متغيرات البيئة أو خدمات الإدارة السرية مثل AWS Secrets Manager أو HashiCorp Vault أو CyberArk Conjur لتخزين مفتاح واجهة برمجة التطبيقات بشكل آمن على جانب الخادم، بدلاً من تضمينه في تعليمات برمجية من جانب العميل.[1][3]
2. قم بتنفيذ واجهة برمجة التطبيقات الوسيطة على الخادم الخاص بك والتي تتعامل مع استدعاءات واجهة برمجة التطبيقات إلى OpenAI، بحيث لا يتم كشف مفتاح واجهة برمجة التطبيقات للعميل أبدًا.[3]
3. استخدم خدمة بوابة مثل Zuplo التي يمكنها العمل كوكيل، وتخزين مفتاح API الخاص بك بشكل آمن وإضافة رؤوس التفويض اللازمة قبل إعادة توجيه الطلب إلى OpenAI.[4]
4. قم بتقييد أذونات مفتاح واجهة برمجة التطبيقات (API) على نقاط النهاية الضرورية فقط، بدلاً من استخدام مفتاح غير مقيد.[2]
5. قم بتدوير مفتاح API بانتظام وقم بتحديث أي خدمات باستخدام المفتاح القديم.[3]
باختصار، النهج الموصى به هو استخدام خادم رمزي أو واجهة برمجة تطبيقات وسيطة لإدارة مفتاح OpenAI API بشكل آمن، بدلاً من تعريضه مباشرة لتطبيقات العميل. وهذا يوفر طبقة إضافية من الأمان والتحكم في من يمكنه الوصول إلى واجهة برمجة التطبيقات.[1] [3] [4]
الاستشهادات:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185