AI 工具越来越多以后,API Key 也越来越容易泄露。一次截图、一次 Git 提交、一次日志打印,都可能把 key 暴露出去。对使用中转站的人来说,key 泄露不仅会影响账号安全,还可能直接造成额度损失。
不要把 Key 写进代码
最基本的原则:不要把真实 API Key 写进源码。教程里可以写 sk-xxxx 示例,但真实项目应该通过环境变量、密钥管理工具或本地配置文件读取。
export OPENAI_API_KEY="你的 API Key"
export ANTHROPIC_API_KEY="你的 API Key".env 文件要进 .gitignore
很多项目会使用 .env 保存本地变量,但它必须加入 .gitignore。否则你一提交,key 就可能进入 Git 历史记录,即使之后删除也不一定安全。
.env
.env.local
.claude/settings.local.json截图前检查终端和设置页
很多泄露不是来自代码,而是来自截图。发教程、问问题、贴报错前,先看终端里有没有完整 key、后台里有没有 token、URL 里有没有查询参数。
团队共享不要传个人 Key
如果团队一起用 AI 工具,最好由中转站或网关生成单独的项目 key,并设置额度、有效期和权限范围。不要把个人主 key 发到群里。
定期轮换 Key
如果怀疑 key 被泄露,不要只改本地配置。应该先在中转站后台禁用旧 key,生成新 key,再更新本地环境变量。
如果你只是想稳定使用 Claude Code、Codex CLI、Gemini CLI、Cline、Roo Code 这类 AI 编程工具,不想自己维护模型映射、网络转发和错误排查,可以了解 YYLX.IO 鱼鱼连线。对普通用户来说,最省时间的方案往往不是自己搭一整套网关,而是直接使用已经整理好接入方式的 AI 中转站。
总结
API Key 安全的核心是:不要进代码、不要进截图、不要进日志、不要长期不换。中转站如果支持额度、权限和日志,会让 key 管理更可控。
发表回复