Виходячи з результатів пошуку, ось ключові моменти щодо використання ключів OpenAI API із серверами маркерів для кращої безпеки:
Основні проблеми безпеки щодо ключів OpenAI API полягають у тому, що якщо ключ буде розкрито, будь-хто може використовувати його для доступу до вашого облікового запису OpenAI та стягуватиме плату. Щоб зменшити цей ризик, результати пошуку рекомендують кілька підходів:
1. Використовуйте змінні середовища або секретні служби керування, як-от AWS Secrets Manager, HashiCorp Vault або CyberArk Conjur, щоб безпечно зберігати ключ API на стороні сервера, а не вбудовувати його в код клієнта.[1][3]
2. Впровадьте API проміжного програмного забезпечення на вашому власному сервері, який обробляє виклики API до OpenAI, щоб ключ API ніколи не відкривався клієнту.[3]
3. Використовуйте службу шлюзу, як-от Zuplo, яка може діяти як проксі, надійно зберігаючи ваш ключ API та додаючи необхідні заголовки авторизації перед тим, як пересилати запит до OpenAI.[4]
4. Обмежте дозволи ключа API лише необхідними кінцевими точками, а не використовуйте необмежений ключ.[2]
5. Регулярно змінюйте ключ API та оновлюйте будь-які служби за допомогою старого ключа.[3]
Таким чином, рекомендованим підходом є використання сервера маркерів або API проміжного програмного забезпечення для безпечного керування ключем OpenAI API, а не надання його безпосередньо клієнтським програмам. Це забезпечує додатковий рівень безпеки та контролю над тим, хто може отримати доступ до API.[1][3][4]
цитати:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185