Remiantis paieškos rezultatais, pateikiami pagrindiniai OpenAI API raktų naudojimo su žetonų serveriais, siekiant didesnio saugumo, klausimai:
Pagrindinės su OpenAI API raktais susijusios su saugumu susijusios problemos yra tai, kad jei raktas bus atskleistas, jį gali naudoti bet kas, norėdamas pasiekti jūsų OpenAI paskyrą ir už jį bus taikomi mokesčiai. Siekiant sumažinti šią riziką, paieškos rezultatuose rekomenduojami keli būdai:
1. Naudokite aplinkos kintamuosius arba slapto valdymo paslaugas, pvz., AWS Secrets Manager, HashiCorp Vault arba CyberArk Conjur, kad saugiai saugotumėte API raktą serverio pusėje, o ne įterpdami jį į kliento kodą.[1][3]
2. Įdiekite tarpinės programinės įrangos API savo serveryje, kuri apdoroja API iškvietimus į OpenAI, kad API raktas niekada nebūtų atskleistas klientui.[3]
3. Prieš persiunčiant užklausą OpenAI, naudokite šliuzo paslaugą, pvz., „Zuplo“, kuri gali veikti kaip tarpinis serveris, saugiai išsaugodamas API raktą ir pridėdamas reikiamas prieigos antraštes.[4]
4. Apribokite API rakto leidimus tik būtiniems galutiniams taškams, o ne naudokite neribotą raktą.[2]
5. Reguliariai keiskite API raktą ir atnaujinkite visas paslaugas naudodami senąjį raktą.[3]
Taigi, apibendrinant, rekomenduojama naudoti prieigos rakto serverį arba tarpinės programinės įrangos API, kad būtų galima saugiai valdyti OpenAI API raktą, o ne tiesiogiai jį atskleisti kliento programoms. Tai suteikia papildomą saugos ir kontrolės, kas gali pasiekti API, lygį.[1][3][4]
Citatos:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185