Glede na rezultate iskanja so tukaj ključne točke o uporabi ključev OpenAI API s strežniki žetonov za boljšo varnost:
Glavni varnostni pomisleki v zvezi s ključi OpenAI API so, da če je ključ izpostavljen, ga lahko kdorkoli uporabi za dostop do vašega računa OpenAI in povzroči stroške. Za zmanjšanje tega tveganja rezultati iskanja priporočajo več pristopov:
1. Uporabite spremenljivke okolja ali storitve tajnega upravljanja, kot so AWS Secrets Manager, HashiCorp Vault ali CyberArk Conjur, da ključ API varno shranite na strani strežnika, namesto da ga vdelate v kodo na strani odjemalca.[1][3]
2. Implementirajte API vmesne programske opreme na svojem strežniku, ki obravnava klice API-ja za OpenAI, tako da ključ API-ja nikoli ni izpostavljen odjemalcu.[3]
3. Uporabite prehodno storitev, kot je Zuplo, ki lahko deluje kot proxy, varno shrani vaš API ključ in doda potrebne avtorizacijske glave, preden posreduje zahtevo OpenAI.[4]
4. Omejite dovoljenja ključa API samo na potrebne končne točke, namesto da uporabite neomejen ključ.[2]
5. Redno menjajte ključ API in posodobite vse storitve s starim ključem.[3]
Če povzamemo, je priporočeni pristop uporaba strežnika žetonov ali API-ja vmesne programske opreme za varno upravljanje ključa OpenAI API, namesto da bi ga izpostavili neposredno odjemalskim aplikacijam. To zagotavlja dodatno raven varnosti in nadzor nad tem, kdo lahko dostopa do API-ja.[1][3][4]
Citati:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185