Pixel API
使用指南钱包与商城福利与邀请API 参考帮助支持

安全使用

三条底线

不公开完整 API Key;不发送账号 token、密码或完整收款码截图;怀疑泄漏后先删除或轮换,再重新配置客户端。

API Key 安全

API Key 等同于你的调用额度入口。任何拿到完整 Key 的人,都可能消耗你的余额或订阅额度。

  • 只把 API Key 填到你信任的模型客户端、脚本或服务器里。
  • 不要把完整 Key 发到群聊、工单、截图、日志、公开仓库或录屏里。
  • 一个客户端或用途建议单独创建一个 Key,例如 Codex-桌面端ClaudeCode-工作站
  • 不再使用的 Key 及时删除。
  • 怀疑泄漏时,先删除或轮换 Key,再检查“使用记录”和“余额流水”。

API Key 使用边界

凭证用途不要这样用
用户 API Key调用 /v1/responses/v1beta 等模型接口不要公开给他人,不要长期让多个无关客户端共用
登录会话进入控制台查看余额、订单、账号和用量不要当成模型 API Key 填到客户端
账号授权凭证号主托管账号或重新授权时使用不要发给他人,不要贴到工单或群聊

如果你需要让别人帮你排查,提供 API Key 名称或 ID 即可,不要提供完整 Key。

创建 Key 时的建议

  • Key 名称写清楚用途,方便以后定位问题。
  • 高成本模型或共享分组建议设置额度限制。
  • 固定服务器调用时,可以按实际情况设置 IP 限制。
  • 同一个 Key 不要同时给多个脚本、多个客户端和多人共享使用。
  • 切换分组或模型后,先用小请求验证,再进行长任务或高频调用。

登录安全

  • 使用强密码,不要和其他站点复用同一密码。
  • 开启 TOTP 后,换设备登录需要动态验证码,请妥善保存恢复方式。
  • 如果发现陌生 API Key、异常用量或异常余额流水,立即删除可疑 Key 并修改密码。
  • 公共电脑或他人设备登录后,及时退出账号。
  • 通知邮箱建议保持可用,用于接收安全、订单和站点通知。

号主账号托管安全

号主添加账号后,平台会根据你选择的共享方式调度账号。你需要保护好授权信息和收益信息:

  • 第一次添加账号先用私有模式或小流量测试。
  • 上架公共共享前,确认账号类型、倍率、并发、小时费、席位和可用模型。
  • 不要把账号密码、完整 token、OAuth 授权信息发给他人。
  • 如果账号频繁 401、403、429,先降低并发或暂停共享,再重新授权或调整代理。
  • 收益提现前确认收款信息正确。给站点支持看问题时,遮挡二维码、账号、手机号等敏感信息。

问题反馈时怎么脱敏

需要站点支持协助时,可以提供:

  • API Key 名称或 ID。
  • 请求时间、请求路径、状态码、请求 ID。
  • 使用记录、余额流水、账号状态页面截图。
  • 客户端名称、Base URL 和模型名称。

不要提供:

  • 完整 API Key。
  • 登录密码、验证码、TOTP 密钥。
  • 账号 token、OAuth 回调链接、完整 cookie。
  • 完整收款码、银行卡号、身份证号。

泄漏后的处理

如果你怀疑 API Key、账号凭证或登录信息泄漏:

  1. 立即删除或轮换相关 API Key。
  2. 修改登录密码,检查是否有陌生 Key 或异常账号。
  3. 查看“使用记录”和“余额流水”,确认泄漏时间段内是否有异常消耗。
  4. 号主账号泄漏时,重新授权或重新导入账号,并暂停异常共享。
  5. 带上时间范围、Key 名称或 ID、异常记录截图联系站点支持。

先止损,再排查

怀疑泄漏时不要先等别人确认。先删除 Key、改密码、暂停异常账号,再补充信息排查来源。

本页目录