Com base nos resultados da pesquisa, aqui estão os principais pontos do uso de teclas de API OpenAI com servidores token para obter melhor segurança:
As principais preocupações de segurança sobre as chaves da API OpenAI são que, se a chave for exposta, ela poderá ser usada por qualquer pessoa para acessar sua conta OpenAI e incorrer em cobranças. Para mitigar esse risco, os resultados da pesquisa recomendam várias abordagens:
1. Use variáveis de ambiente ou serviços de gerenciamento secreto como o AWS Secrets Manager, Hashicorp Vault ou Cyberark Conjur para armazenar a chave da API com segurança no lado do servidor, em vez de incorporá-lo no código do lado do cliente. [1] [3]
2. Implemente uma API de middleware em seu próprio servidor que lida com as chamadas da API para o OpenAI, para que a chave da API nunca seja exposta ao cliente. [3]
3. Use um serviço de gateway como o Zuplo que pode atuar como proxy, armazenando sua chave da API com segurança e adicionando os cabeçalhos de autorização necessários antes de encaminhar a solicitação para o OpenAI. [4]
4. Restrinja as permissões da chave da API apenas para os pontos de extremidade necessários, em vez de usar uma chave irrestrita. [2]
5. Gire regularmente a chave da API e atualize todos os serviços usando a chave antiga. [3]
Portanto, em resumo, a abordagem recomendada é usar uma API de servidor de token ou middleware para gerenciar a chave da API OpenAI com segurança, em vez de expor -a diretamente aos aplicativos do cliente. Isso fornece uma camada adicional de segurança e controle sobre quem pode acessar a API. [1] [3] [4]
Citações:[1] https://www.gitguardian.com/remediation/openai-api-Key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185