จากผลการค้นหานี่คือประเด็นสำคัญในการใช้คีย์ OpenAI API กับเซิร์ฟเวอร์โทเค็นเพื่อความปลอดภัยที่ดีขึ้น:
ความกังวลด้านความปลอดภัยหลักรอบ ๆ คีย์ OpenAI API คือหากมีการเปิดเผยคีย์สามารถใช้งานได้โดยทุกคนสามารถเข้าถึงบัญชี OpenAI ของคุณและค่าใช้จ่ายได้ เพื่อลดความเสี่ยงนี้ผลการค้นหาแนะนำวิธีการหลายวิธี:
1. ใช้ตัวแปรสภาพแวดล้อมหรือบริการการจัดการความลับเช่น AWS Secrets Manager, Hashicorp Vault หรือ Cyberark Conjur เพื่อจัดเก็บคีย์ API อย่างปลอดภัยบนฝั่งเซิร์ฟเวอร์แทนที่จะฝังไว้ในรหัสฝั่งไคลเอ็นต์ [1] [3]
2. ใช้ API มิดเดิลแวร์บนเซิร์ฟเวอร์ของคุณเองที่จัดการการเรียก API ไปยัง OpenAI ดังนั้นคีย์ API จึงไม่เคยสัมผัสกับไคลเอนต์ [3]
3. ใช้บริการเกตเวย์เช่น Zuplo ที่สามารถทำหน้าที่เป็นพร็อกซีจัดเก็บคีย์ API ของคุณอย่างปลอดภัยและเพิ่มส่วนหัวการอนุญาตที่จำเป็นก่อนส่งคำขอไปยัง OpenAI [4]
4. จำกัด การอนุญาตของคีย์ API ไว้ที่จุดสิ้นสุดที่จำเป็นเท่านั้นแทนที่จะใช้คีย์ที่ไม่ จำกัด [2]
5. หมุนคีย์ API เป็นประจำและอัปเดตบริการใด ๆ โดยใช้คีย์เก่า [3]
ดังนั้นโดยสรุปวิธีที่แนะนำคือการใช้เซิร์ฟเวอร์โทเค็นหรือ API มิดเดิลแวร์เพื่อจัดการคีย์ OpenAI API อย่างปลอดภัยแทนที่จะเปิดเผยโดยตรงไปยังแอปพลิเคชันไคลเอนต์ นี่เป็นเลเยอร์เพิ่มเติมของความปลอดภัยและการควบคุมว่าใครสามารถเข้าถึง API [1] [3] [4]
การอ้างอิง:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-ywour-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-his-allowed-his-bring-your-own-key-usage/161185