Hakutulosten perusteella tässä on avainkohtia OpenAI API -näppäimien käyttämisessä token -palvelimien kanssa paremman turvallisuuden saavuttamiseksi:
Tärkeimmät turvallisuusongelmat OpenAI API -näppäimien ympärillä ovat, että jos avain paljastetaan, kuka tahansa voi käyttää OpenAi -tiliisi ja aiheuttamaan maksuja. Tämän riskin lieventämiseksi hakutulokset suosittelevat useita lähestymistapoja:
1. Käytä ympäristömuuttujia tai salaisia hallintapalveluita, kuten AWS Secrets Manager, Hashicorp-holvi tai Cyberark Conjur API-avaimen tallentamiseksi turvallisesti palvelinpuolella sen sijaan, että upotettaisiin sitä asiakaspuolen koodiin. [1] [3]
2. Toteuta oman palvelimen väliohjelmisto -sovellusliittymä, joka käsittelee sovellusliittymäpuheluita OpenAI: lle, joten API -avain ei koskaan altistu asiakkaalle. [3]
3. Käytä Zuplo -kaltaista yhdyskäytäväpalvelua, joka voi toimia välityspalvelimena, tallentaa API -avain turvallisesti ja lisätä tarvittavat valtuutusotsikot ennen pyynnön lähettämistä Openaille. [4]
4. Rajoita sovellusliittymän avaimen käyttöoikeudet vain tarvittaviin päätepisteisiin sen sijaan, että käyttäisivät rajoittamatonta avainta. [2]
5. Kierrä säännöllisesti API -näppäintä ja päivitä kaikki palvelut vanhasta avaimesta. [3]
Joten yhteenvetona, suositeltu lähestymistapa on käyttää Token -palvelin tai väliohjelmiston sovellusliittymää OpenAI API -näppäimen hallintaan turvallisesti sen sijaan, että se paljastaisi suoraan asiakassovelluksille. Tämä tarjoaa ylimääräisen turvallisuuden ja hallinnan siitä, kuka pääsee sovellusliittymään. [1] [3] [4]
Viittaukset:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
.
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
.