1. Verwende immer einen eindeutigen API-Schlüssel für jedes Teammitglied in deinem Konto.
Ein API-Schlüssel ist ein eindeutiger Code, der deine Anfragen an die API identifiziert. Dein API-Schlüssel ist für die Verwendung durch dich bestimmt. Das Teilen von API-Schlüsseln verstößt gegen die Nutzungsbedingungen.
Wenn du mit dem Experimentieren beginnst, könntest du den API-Zugriff auf dein Team erweitern wollen. OpenAI unterstützt das Teilen von API-Schlüsseln nicht. Bitte lade neue Mitglieder über die Seite Mitglieder zu deinem Konto ein, und sie erhalten bei der Anmeldung schnell ihren eigenen eindeutigen Schlüssel. Du kannst Berechtigungen auch einzelnen API-Schlüsseln zuweisen.
2. Setze deinen Schlüssel niemals in clientseitigen Umgebungen wie Browsern oder mobilen Apps ein.
Das Offenlegen deines OpenAI-API-Schlüssels in Client-Umgebungen wie Browsern oder mobilen Apps ermöglicht es böswilligen Benutzer:innen, diesen Schlüssel zu übernehmen und Anfragen in deinem Namen zu stellen – was zu unerwarteten Kosten oder der Kompromittierung bestimmter Kontodaten führen kann. Anfragen sollten immer über deinen eigenen Backend-Server geleitet werden, wo du deinen API-Schlüssel sicher aufbewahren kannst.
3. Speichere deinen Schlüssel niemals in deinem Repository
Das Einbetten eines API-Schlüssels in den Quellcode ist ein häufiger Grund für die Kompromittierung von Zugangsdaten. Für diejenigen mit öffentlichen Repositories ist dies eine häufige Möglichkeit, wie du unwissentlich deinen Schlüssel mit dem Internet teilen kannst. Private Repositories sind sicherer, aber eine Datenpanne kann auch hier dazu führen, dass deine Schlüssel offengelegt werden. Aus diesen Gründen empfehlen wir dringend die Verwendung der Umgebungsvariablen als proaktive Schlüssel-Sicherheitsmaßnahme.
4. Verwende Umgebungsvariablen anstelle deines API-Schlüssels
Eine Umgebungsvariable ist eine Variable, die auf deinem Betriebssystem und nicht innerhalb deiner Anwendung festgelegt wird. Sie besteht aus einem Namen und einem Wert. Wir empfehlen, den Namen der Variablen auf OPENAI_API_KEY zu setzen. Indem du diesen Variablennamen in deinem Team konsistent hältst, kannst du deinen Code freigeben und teilen, ohne das Risiko einzugehen, deinen API-Schlüssel offenzulegen.
Windows-Einrichtung
Option 1: Lege deine Umgebungsvariable ‘OPENAI_API_KEY’ über den cmd-Prompt fest
Führe Folgendes im cmd-Prompt aus und ersetze <yourkey> durch deinen API-Schlüssel:
setx OPENAI_API_KEY "<yourkey>"Dies wird auf zukünftige cmd-Prompt-Fenster angewendet, daher musst du ein neues öffnen, um diese Variable mit curl zu verwenden. Du kannst überprüfen, ob diese Variable festgelegt wurde, indem du ein neues cmd-Prompt-Fenster öffnest und Folgendes eingibst:
echo %OPENAI_API_KEY%Option 2: Lege deine Umgebungsvariable ‘OPENAI_API_KEY’ über die Systemsteuerung fest
1. Öffne die System-Eigenschaften und wähle Erweiterte Systemeinstellungen.
2. Wähle Umgebungsvariablen ...
3. Wähle Neu … im Abschnitt Benutzervariablen (oben) aus. Füge dein Name/Schlüsselwert-Paar hinzu, indem du <yourkey> durch deinen API-Schlüssel ersetzt.
Variablenname: OPENAI_API_KEY
Variablenwert: <yourkey>Linux- / macOS-Einrichtung
Option 1: Lege deine Umgebungsvariable ‘OPENAI_API_KEY’ über zsh fest
1. Führe den folgenden Befehl in deinem Terminal aus und ersetze yourkey durch deinen API-Schlüssel.
echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc2. Aktualisiere die Shell mit der neuen Variable:
source ~/.zshrc3. Bestätige, dass du deine Umgebungsvariable mit dem folgenden Befehl gesetzt hast.
echo $OPENAI_API_KEYDer Wert deines API-Schlüssels wird als Ergebnis ausgegeben.
Option 2: Lege deine Umgebungsvariable ‘OPENAI_API_KEY’ über bash fest
Befolge die Anweisungen in Option 1 und ersetze .zshrc durch .bash_profile.
Du bist bereit! Du kannst den Schlüssel jetzt in curl referenzieren oder ihn in Python laden:
import os
import openai
openai.api_key = os.environ["OPENAI_API_KEY"]5. Verwende einen Schlüsselverwaltungsdienst
Es gibt eine Vielzahl von Produkten, die für die sichere Verwaltung geheimer API-Schlüssel verfügbar sind. Diese Tools ermöglichen es dir, den Zugriff auf deine Schlüssel zu kontrollieren und deine allgemeine Datensicherheit zu verbessern. Im Falle eines Datenlecks in deiner Anwendung wären deine Schlüssel nicht kompromittiert, da sie verschlüsselt und an einem völlig separaten Ort verwaltet werden.
Für Teams, die ihre Anwendungen in der Produktion einsetzen, empfehlen wir dir, einen dieser Dienste in Betracht zu ziehen.
6. Überwache die Nutzung deines Kontos und wechsle deine Schlüssel bei Bedarf
Ein kompromittierter API-Schlüssel ermöglicht es einer Person, ohne deine Zustimmung auf das Kontingent deines Kontos zuzugreifen. Dies kann zu Datenverlust, unerwarteten Gebühren, einer Erschöpfung deines monatlichen Kontingents und einer Unterbrechung deines API-Zugriffs führen.
Die Nutzung deines Teams kann über die Seite Nutzung nachverfolgt werden. Falls du jemals Bedenken wegen Missbrauchs hast, gibt es einige Aktionen, die du ergreifen kannst, um dein Konto zu schützen:
Überprüfe deine Nutzung, um zu sehen, ob sie mit der Arbeit deines Teams übereinstimmt. Für Benutzer:innen, die mehreren Organisationen angehören (z. B. geschäftlich und privat), stelle sicher, dass die Benutzer:innen das Tracking aktiviert und ihre Standardorganisation für Nutzung und Tracking festgelegt haben.
Wenn du glaubst, dass dein Schlüssel geleakt wurde, ändere deinen Schlüssel sofort auf der Seite API-Schlüssel. Für Kund:innen mit Anwendungen in der Produktion musst du deine Schlüsselwerte entsprechend aktualisieren.
Kontaktiere uns über help.openai.com für weitere Untersuchungen.
7. Beschränke den API-Zugriff mit einer IP-Allowlist
Mit einer IP-Allowlist kannst du festlegen, welche IP-Adressen auf deine OpenAI-API zugreifen dürfen. Bei Aktivierung dieser Option werden nur Anfragen von konfigurierten IP-Adressen oder IP-Bereichen zugelassen. Alle anderen Anfragen werden abgelehnt – selbst wenn sie einen gültigen API-Schlüssel enthalten.
Dadurch wird eine zusätzliche Schutzebene geschaffen, da sichergestellt wird, dass der Zugriff auf deine API nur von vertrauenswürdigen Infrastrukturen wie deinen Backend-Servern oder deiner Cloud-Umgebung aus möglich ist.
Weitere Informationen findest du im Artikel „IP-Allowlist für die OpenAI-API“.