Según los resultados de la búsqueda, estos son los puntos clave sobre el uso de claves API de OpenAI con servidores de tokens para una mayor seguridad:
Las principales preocupaciones de seguridad en torno a las claves API de OpenAI son que, si la clave está expuesta, cualquier persona puede utilizarla para acceder a su cuenta OpenAI e incurrir en cargos. Para mitigar este riesgo, los resultados de la búsqueda recomiendan varios enfoques:
1. Utilice variables de entorno o servicios de administración de secretos como AWS Secrets Manager, HashiCorp Vault o CyberArk Conjur para almacenar la clave API de forma segura en el lado del servidor, en lugar de incrustarla en el código del lado del cliente.[1][3]
2. Implemente una API de middleware en su propio servidor que maneje las llamadas API a OpenAI, de modo que la clave API nunca esté expuesta al cliente.[3]
3. Utilice un servicio de puerta de enlace como Zuplo que pueda actuar como proxy, almacenando su clave API de forma segura y agregando los encabezados de autorización necesarios antes de reenviar la solicitud a OpenAI.[4]
4. Restrinja los permisos de la clave API solo a los puntos finales necesarios, en lugar de utilizar una clave sin restricciones.[2]
5. Rote periódicamente la clave API y actualice todos los servicios utilizando la clave anterior.[3]
En resumen, el enfoque recomendado es utilizar un servidor de tokens o una API de middleware para administrar la clave de la API de OpenAI de forma segura, en lugar de exponerla directamente a las aplicaciones cliente. Esto proporciona una capa adicional de seguridad y control sobre quién puede acceder a la API.[1][3][4]
Citas:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185