降低权限
测试时不要使用生产 Key。更好的做法是创建低余额、可删除、用途单一的 Key,并限制其可访问模型和额度。
API KEY SECURITY
API Key 安全检测
把 API Key 交给第三方中转站前,最重要的不是只看接口能不能通,而是确认密钥权限、余额暴露、日志留存和敏感数据边界是否可控。
控制输入
检测用提示词不应包含用户隐私、业务密钥、内部代码或不可公开的商业信息。先验证通道,再决定是否进入真实业务。
保留证据
记录中转站的计费说明、日志策略、失败请求扣费规则和客服承诺。没有明确说明的通道,应按高风险处理。
Key 安全检查重点
- 测试 Key 是否可随时吊销,余额是否受控。
- 供应商是否说明日志保存、请求转发和数据使用规则。
- 失败请求、超时请求和被拒绝请求是否扣费。
- 不要在未知通道内提交生产数据和长期有效密钥。
常见问题
低余额 Key 是否就绝对安全?
不是。低余额只能降低直接损失,仍需要避免传入敏感数据,并在测试后及时吊销或轮换。
中转站说不保存日志就可以相信吗?
不能只看口头说明。应查看服务条款、隐私说明、后台日志展示和历史信誉,必要时只用于低风险任务。
检测后需要换 Key 吗?
如果使用的是临时测试 Key,建议检测后直接吊销。生产 Key 不应进入未充分验证的中转链路。