Hakutulosten perusteella tässä ovat avainkohdat OpenAI API -avaimien käyttämisestä token-palvelimien kanssa turvallisuuden parantamiseksi:
OpenAI API -avaimiin liittyvät tärkeimmät turvallisuusongelmat ovat, että jos avain paljastetaan, kuka tahansa voi käyttää sitä OpenAI-tilillesi pääsyyn ja siitä aiheutuu kuluja. Tämän riskin vähentämiseksi hakutuloksissa suositellaan useita lähestymistapoja:
1. Käytä ympäristömuuttujia tai salaisia hallintapalveluita, kuten AWS Secrets Manageria, HashiCorp Vaultia tai CyberArk Conjuria, tallentaaksesi API-avaimen turvallisesti palvelinpuolelle sen sijaan, että upottaisit sen asiakaspuolen koodiin.[1][3]
2. Ota käyttöön väliohjelmistosovellusliittymä omalle palvelimellesi, joka käsittelee API-kutsut OpenAI:lle, jotta API-avain ei koskaan tule näkyviin asiakkaalle.[3]
3. Käytä Zuplon kaltaista yhdyskäytäväpalvelua, joka voi toimia välityspalvelimena, tallentaa API-avaimesi turvallisesti ja lisätä tarvittavat valtuutusotsikot ennen pyynnön välittämistä OpenAI:lle.[4]
4. Rajoita API-avaimen käyttöoikeudet vain tarvittaviin päätepisteisiin sen sijaan, että käytät rajoittamatonta avainta.[2]
5. Vaihda API-avainta säännöllisesti ja päivitä kaikki palvelut vanhalla avaimella.[3]
Yhteenvetona voidaan todeta, että suositeltava lähestymistapa on käyttää token-palvelinta tai väliohjelmistosovellusliittymää OpenAI-sovellusliittymäavaimen turvalliseen hallintaan sen sijaan, että paljastaisit sen suoraan asiakassovelluksille. Tämä tarjoaa lisäsuojausta ja hallintaa sen suhteen, kuka voi käyttää sovellusliittymää.[1][3][4]
Lainaukset:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185