Remiantis paieškos rezultatais, čia yra pagrindiniai dalykai, kaip naudoti „Openai“ API klavišus su žetonų serveriais, kad būtų geresnė sauga:
Pagrindiniai saugumo susirūpinimas dėl „Openai“ API raktų yra ta, kad jei raktas yra veikiamas, jį gali naudoti bet kas, norėdamas pasiekti jūsų „Openai“ sąskaitą ir patirti mokesčius. Norint sušvelninti šią riziką, paieškos rezultatai rekomenduoja keletą metodų:
1. Naudokite aplinkos kintamuosius arba slaptosios valdymo paslaugas, tokias kaip „AWS Secrets Manager“, „Hashicorp Vault“ arba „Cyberark Conjur“, kad saugiai saugo API raktą serverio pusėje, o ne įterpdami jį į kliento pusės kodą. [1] [3]
2. Įdiekite tarpinės programinės įrangos API savo serveryje, kuris tvarko API skambučius į „Openai“, taigi API raktas niekada nėra veikiamas kliento.
3. Naudokite tokią „Gateway“ paslaugą kaip „Zuplo“, kuri gali veikti kaip įgaliotinis, saugiai saugodami jūsų API raktą ir pridėkite reikiamas autorizacijos antraštes prieš persiunčiant užklausą „Openai“. [4]
4. Apribokite API rakto leidimus tik reikiamais galiniais taškais, o ne naudodami neribotą raktą. [2]
5. Reguliariai pasukite API raktą ir atnaujinkite visas paslaugas naudodami senąjį raktą. [3]
Taigi apibendrinant, rekomenduojamas metodas yra saugiai valdyti „Openai API“ klavišą, užuot tiesiogiai atskleidžiant jį tiesiogiai kliento programoms valdyti „Openai“ API raktą. Tai suteikia papildomą saugumo ir kontrolės sluoksnį, kas gali pasiekti API. [1] [3] [4]
Citatos:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-oid-oding-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-alarned-this-bring-your-oid-odhkey-usage/161185