先找常见暴露位置
API Key 常见暴露位置包括 Git 提交、前端源码、.env 文件、日志平台、错误报告、截图、接口调试工具和共享文档。
KEY SECURITY
API Key 泄露风险检测
API Key 泄露并不总是立刻表现为异常扣费。它可能出现在代码仓库、前端页面、日志、截图、CI 配置、第三方调试工具或浏览器历史中。检测的目标是发现风险线索,并尽快降低影响范围。
检查异常使用信号
如果 Key 被他人使用,可能出现请求量上升、模型调用异常、地区或 IP 异常、失败请求增加、余额快速下降等信号。
疑似泄露先轮换
如果 Key 已经出现在公开仓库、网页、日志或第三方不可控环境中,应优先轮换或删除,而不是等待完全确认。
泄露风险排查步骤
- 确认是否有 Key 被复制到网页、聊天、截图或文档。
- 搜索代码仓库当前文件中的 Key 片段和常见变量名。
- 检查 Git 历史、PR、CI 日志和构建产物。
- 查看服务端日志、错误追踪、请求调试工具和监控平台。
- 对疑似泄露 Key 执行轮换、删除或限制额度,并避免生产 Key 进入前端和公开日志。
常见问题
只泄露了 Key 的一部分,也需要处理吗?
如果片段不足以还原完整 Key,风险较低,但仍建议检查上下文、日志和提交历史,确认没有完整 Key 同时暴露。
没有异常扣费,是否说明没有泄露?
不能这样判断。泄露后未被使用、尚未被发现或用量较小,都可能暂时没有明显异常。
发现 Key 进了公开仓库怎么办?
优先轮换或删除该 Key,然后清理仓库内容和历史记录。即使删除页面可见内容,也不能假设旧 Key 已经安全。