🔐 API Key 安全管理

安全防护第 1 篇

一句话总结：API Key 是你的"钱包钥匙"，丢了就被人随便花钱了！

什么是 API Key？

API Key 是你访问大模型服务的"通行证"，比如：

阿里云百炼 API Key
OpenAI API Key
月之暗面 (Kimi) API Key

⚠️ 泄露风险

🚨 真实案例

2026 年 2 月，有用户把 API Key 传到 GitHub，一晚上被刷了$500+！

泄露后果

💰 被盗刷 API 费用
📧 用你的名义发邮件
📁 访问你的私有数据
🤖 操控你的 AI 助理

✅ 安全做法

1. 存在安全位置

正确做法：

export QVERIS_API_KEY="sk-xxxxx"

或配置文件：

{
  "apiKey": "sk-xxxxx"
}

错误做法：

const API_KEY = "sk-xxxxx";  // 别这么干！
git add .env  // 别提交！

2. 设置访问权限

只开通需要的服务
设置消费上限（如$100/月）
定期轮换 Key

3. 监控使用情况

定期检查用量统计
设置消费提醒邮件

泄露了怎么办？

立即撤销 - 去控制台删除/禁用 Key
生成新的 - 创建新的 API Key
检查账单 - 看有没有异常消费
更新配置 - 替换所有地方的旧 Key

检查清单

□ API Key 存在环境变量或配置文件
□ 没有写在代码里
□ 没有上传到 GitHub
□ 设置了消费上限
□ 开启了消费提醒
□ 定期检查用量
□ 知道如何快速撤销

🎯 现在检查

打开你的 API 控制台
检查有没有异常消费
确认消费上限已设置
开启邮件提醒

下一步：权限配置 →