จากผลการค้นหา นี่คือประเด็นสำคัญในการใช้คีย์ OpenAI API กับเซิร์ฟเวอร์โทเค็นเพื่อความปลอดภัยที่ดีขึ้น:
ข้อกังวลหลักด้านความปลอดภัยเกี่ยวกับคีย์ OpenAI API คือ หากคีย์ถูกเปิดเผย ใครๆ ก็สามารถใช้คีย์นั้นเพื่อเข้าถึงบัญชี OpenAI ของคุณได้ และจะต้องเสียค่าบริการ เพื่อลดความเสี่ยงนี้ ผลการค้นหาแนะนำหลายวิธี:
1. ใช้ตัวแปรสภาพแวดล้อมหรือบริการการจัดการความลับ เช่น AWS Secrets Manager, HashiCorp Vault หรือ CyberArk Conjur เพื่อจัดเก็บคีย์ API อย่างปลอดภัยบนฝั่งเซิร์ฟเวอร์ แทนที่จะฝังไว้ในโค้ดฝั่งไคลเอ็นต์[1][3]
2. ติดตั้งมิดเดิลแวร์ API บนเซิร์ฟเวอร์ของคุณเองที่จัดการการเรียก API ไปยัง OpenAI ดังนั้นคีย์ API จะไม่ถูกเปิดเผยต่อไคลเอนต์[3]
3. ใช้บริการเกตเวย์เช่น Zuplo ที่สามารถทำหน้าที่เป็นพร็อกซี จัดเก็บคีย์ API ของคุณอย่างปลอดภัย และเพิ่มส่วนหัวการอนุญาตที่จำเป็นก่อนส่งต่อคำขอไปยัง OpenAI[4]
4. จำกัดการอนุญาตของคีย์ API ไว้เฉพาะปลายทางที่จำเป็นเท่านั้น แทนที่จะใช้คีย์ที่ไม่จำกัด[2]
5. หมุนเวียนคีย์ API เป็นประจำและอัปเดตบริการใดๆ โดยใช้คีย์เก่า[3]
โดยสรุป แนวทางที่แนะนำคือการใช้เซิร์ฟเวอร์โทเค็นหรือ Middleware API เพื่อจัดการคีย์ OpenAI API อย่างปลอดภัย แทนที่จะเปิดเผยโดยตรงไปยังแอปพลิเคชันไคลเอ็นต์ ซึ่งจะช่วยเพิ่มระดับการรักษาความปลอดภัยและควบคุมผู้ที่สามารถเข้าถึง API ได้[1][3][4]
การอ้างอิง:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185
-