安全使用
三条底线
不公开完整 API Key;不发送账号 token、密码或完整收款码截图;怀疑泄漏后先删除或轮换,再重新配置客户端。
API Key 安全
API Key 等同于你的调用额度入口。任何拿到完整 Key 的人,都可能消耗你的余额或订阅额度。
- 只把 API Key 填到你信任的模型客户端、脚本或服务器里。
- 不要把完整 Key 发到群聊、工单、截图、日志、公开仓库或录屏里。
- 一个客户端或用途建议单独创建一个 Key,例如
Codex-桌面端、ClaudeCode-工作站。 - 不再使用的 Key 及时删除。
- 怀疑泄漏时,先删除或轮换 Key,再检查“使用记录”和“余额流水”。
API Key 使用边界
| 凭证 | 用途 | 不要这样用 |
|---|---|---|
| 用户 API Key | 调用 /v1、/responses、/v1beta 等模型接口 | 不要公开给他人,不要长期让多个无关客户端共用 |
| 登录会话 | 进入控制台查看余额、订单、账号和用量 | 不要当成模型 API Key 填到客户端 |
| 账号授权凭证 | 号主托管账号或重新授权时使用 | 不要发给他人,不要贴到工单或群聊 |
如果你需要让别人帮你排查,提供 API Key 名称或 ID 即可,不要提供完整 Key。
创建 Key 时的建议
- Key 名称写清楚用途,方便以后定位问题。
- 高成本模型或共享分组建议设置额度限制。
- 固定服务器调用时,可以按实际情况设置 IP 限制。
- 同一个 Key 不要同时给多个脚本、多个客户端和多人共享使用。
- 切换分组或模型后,先用小请求验证,再进行长任务或高频调用。
登录安全
- 使用强密码,不要和其他站点复用同一密码。
- 开启 TOTP 后,换设备登录需要动态验证码,请妥善保存恢复方式。
- 如果发现陌生 API Key、异常用量或异常余额流水,立即删除可疑 Key 并修改密码。
- 公共电脑或他人设备登录后,及时退出账号。
- 通知邮箱建议保持可用,用于接收安全、订单和站点通知。
号主账号托管安全
号主添加账号后,平台会根据你选择的共享方式调度账号。你需要保护好授权信息和收益信息:
- 第一次添加账号先用私有模式或小流量测试。
- 上架公共共享前,确认账号类型、倍率、并发、小时费、席位和可用模型。
- 不要把账号密码、完整 token、OAuth 授权信息发给他人。
- 如果账号频繁 401、403、429,先降低并发或暂停共享,再重新授权或调整代理。
- 收益提现前确认收款信息正确。给站点支持看问题时,遮挡二维码、账号、手机号等敏感信息。
问题反馈时怎么脱敏
需要站点支持协助时,可以提供:
- API Key 名称或 ID。
- 请求时间、请求路径、状态码、请求 ID。
- 使用记录、余额流水、账号状态页面截图。
- 客户端名称、Base URL 和模型名称。
不要提供:
- 完整 API Key。
- 登录密码、验证码、TOTP 密钥。
- 账号 token、OAuth 回调链接、完整 cookie。
- 完整收款码、银行卡号、身份证号。
泄漏后的处理
如果你怀疑 API Key、账号凭证或登录信息泄漏:
- 立即删除或轮换相关 API Key。
- 修改登录密码,检查是否有陌生 Key 或异常账号。
- 查看“使用记录”和“余额流水”,确认泄漏时间段内是否有异常消耗。
- 号主账号泄漏时,重新授权或重新导入账号,并暂停异常共享。
- 带上时间范围、Key 名称或 ID、异常记录截图联系站点支持。
先止损,再排查
怀疑泄漏时不要先等别人确认。先删除 Key、改密码、暂停异常账号,再补充信息排查来源。