Panoramica

Quando utilizzi i servizi di OpenAI, devi sempre mantenere al sicuro sia la tua chiave API sia il tuo account. Proteggiti dalle violazioni di chiavi API e dalle compromissioni degli account seguendo queste best practice.

Proteggi il tuo account

La sicurezza è una responsabilità condivisa. OpenAI si impegna a proteggere l’accesso agli account e questi passaggi possono contribuire a ridurre il rischio di utilizzo non autorizzato. In caso di utilizzi non autorizzati delle credenziali dell'account, segnala il problema il prima possibile.

Prevenire le fughe di chiavi API

Una chiave API è il codice di accesso utilizzato per chiamare l'API di OpenAI. Se venisse divulgata, utenti non autorizzati potrebbero accedere all'API tramite il tuo account. Questo può comportare addebiti non autorizzati o attività che violano le nostre condizioni d'uso.

Usa le variabili d'ambiente

Memorizza la tua chiave API nelle variabili d'ambiente all'interno del tuo ambiente di sviluppo. Questo aiuta a mantenere la chiave al di fuori del codice dell’applicazione e riduce il rischio di esposizione.

Se usi GitHub Actions, usa i segreti di GitHub per archiviare la tua chiave API.

Fai attenzione ai prodotti di terze parti

Presta attenzione a librerie, framework e strumenti di terze parti che richiedono l'accesso alla tua chiave API. Anche se un prodotto sembra affidabile, rimane comunque il rischio di esposizione della chiave o di uso improprio.

Prima di utilizzare un prodotto di terze parti che richiede la tua chiave API, valuta attentamente l'azienda e il prodotto. Controlla le recensioni, leggi l'informativa sulla privacy e cerca eventuali problemi di sicurezza segnalati dalla community.

Imposta limiti di spesa ragionevoli

Imposta più soglie di spesa, ad esempio 90% e 95%, in relazione a un budget mensile a livello organizzativo o progettuale per monitorare la spesa mensile.

Configura destinatari e-mail personalizzati per integrarsi con mailing list, piattaforme di gestione degli incidenti e piattaforme di messaggistica. Questa impostazione può essere configurata nelle impostazioni della piattaforma.

Non condividere la tua chiave API

Può essere allettante incorporare la chiave API direttamente in un'applicazione per evitare di dover gestire un server per un'app mobile o un caso d'uso simile. Tuttavia, ciò rende la chiave API vulnerabile a un uso improprio.

Effettua revisioni approfondite del codice

Prima di caricare il codice su repository pubblici, rivedilo per assicurarti che non vengano esposte informazioni sensibili, come chiavi API.

Utilizza strumenti di scansione automatizzati che possono segnalare potenziali fughe di dati. Puoi anche consultare il tutorial sulla scansione dei segreti di GitHub per ulteriori indicazioni.

Quando OpenAI rileva una chiave API pubblicata su internet o trapelata all'interno di un'app in uno store di app, la chiave API viene immediatamente disabilitata.

Implementare la rotazione delle chiavi

Cambia periodicamente le tue chiavi API eliminando le vecchie chiavi e creandone di nuove tramite il pannello di controllo delle chiavi API.

Previeni le violazioni degli account

Una compromissione dell'account si verifica quando qualcuno ottiene accesso non autorizzato al tuo account, utilizzando i servizi di OpenAI e lasciando al titolare dell'account il conto da pagare.

Usa password complesse o l'autenticazione Google

Se usi una password, utilizza una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Consigliamo di utilizzare un gestore di password per generare e archiviare le password.

Aggiorna la tua password ogni pochi mesi.

Abilita l'autenticazione a più fattori (MFA)

Abilita l'autenticazione a più fattori (MFA) per aggiungere un ulteriore passaggio di verifica, che di solito prevede l'uso del tuo telefono.

Anche se qualcuno ottenesse la tua password, avrebbe comunque bisogno del secondo fattore per accedere al tuo account.

Abilitare l'autenticazione a più fattori (MFA) non annulla gli accessi esistenti. Per bloccare eventuali utenti che stanno già accedendo al tuo account, reimposta prima la password, quindi abilita l'autenticazione a più fattori (MFA).

Usa la sicurezza avanzata dell'account

Per gli account ChatGPT consumer idonei, la Sicurezza avanzata dell'account aggiunge requisiti di accesso più rigorosi e misure di sicurezza dell'account più severe. Questa funzionalità non è disponibile per gli utenti di ChatGPT Enterprise, per gli account gestiti dall'azienda o per gli account associati a un dominio gestito dall'azienda.

Fai attenzione alle e-mail e ai link

Fai attenzione alle e-mail che chiedono credenziali o indirizzano gli utenti a pagine web che richiedono i dati dell’account.

Ricontrolla sempre l'indirizzo e-mail e l'URL per assicurarti che provengano da una fonte affidabile.

Gestire un sospetto accesso non autorizzato

Se pensi che la tua chiave API sia stata compromessa o sospetti attività non autorizzate sul tuo account, agisci immediatamente.

Elimina le tue chiavi API

Elimina le tue chiavi API tramite il pannello di controllo delle chiavi API.

OpenAI supporta anche il monitoraggio dell'utilizzo per chiave API. In questo modo è semplice visualizzare l'utilizzo a livello di funzionalità, team, prodotto o progetto, semplicemente disponendo di chiavi API separate per ciascuno.

Contatta l'assistenza di OpenAI

Prima segnali il problema, più rapidamente OpenAI potrà aiutarti a risolverlo e limitare eventuali danni. Contatta l'assistenza di OpenAI aprendo una nuova chat da qualsiasi pagina del Centro assistenza.

Esamina l'attività dell'account

Controlla l'account per individuare attività sospette, come un utilizzo imprevisto delle API. I dettagli che fornisci possono essere utili per il recupero dell'account.

Disconnetti da tutti i dispositivi

Esci da tutte le sessioni attive su tutti i dispositivi.

In ChatGPT Go, vai su Impostazioni > Sicurezza. Seleziona Disconnettiti da tutti i dispositivi. Questa operazione disattiva le sessioni ChatGPT attive.

Su Piattaforma, vai a Il tuo profilo > Sicurezza. Seleziona Disconnettiti da tutti i dispositivi. In questo modo disattiverai le sessioni attive sulla piattaforma.

Potrebbero essere necessari fino a 30 minuti prima che le altre sessioni di ChatGPT vengano disconnesse.