Немедленно свяжитесь со службой поддержки OpenAI, если вы опасаетесь, что ваша учетная запись или API-ключ были скомпрометированы. Чтобы связаться со службой поддержки OpenAI, откройте новый чат в правом нижнем углу любой страницы Справочного центра.
Обзор
При использовании сервисов OpenAI важно хранить в безопасности как ваш API-ключ, так и вашу учетную запись. Защититесь от утечек API-ключей и захвата учетной записи, следуя этим рекомендациям.
Обеспечьте безопасность вашей учетной записи
Безопасность — это общая ответственность. OpenAI со своей стороны работает над защитой доступа к учетной записи, а вы можете следовать этим инструкциям, чтобы снизить риск несанкционированного использования. Если вам известно, что учетные данные учетной записи используются без разрешения, сообщите о проблеме как можно скорее.
Предотвращение утечек API-ключей
API-ключ — это код доступа, используемый для обращения к API OpenAI. В случае утечки неавторизованные пользователи смогут получить доступ к API через вашу учетную запись. Это может привести к несанкционированным списаниям средств или действиям, нарушающим наши Условия предоставления услуг.
Используйте переменные окружения
Храните API-ключ в переменных окружения в вашей среде разработки. Это позволяет не хранить ключ в коде приложения и снижает риск его утечки.
Если вы используете GitHub Actions, используйте секреты GitHub для хранения своего API-ключа.
Будьте осторожны при использовании сторонних продуктов
Соблюдайте осторожность при использовании сторонних библиотек, фреймворков или инструментов, которые запрашивают доступ к вашему API-ключу. Даже если продукт кажется надежным, все равно существует риск раскрытия ключа или его неправомерного использования.
Перед использованием стороннего продукта, для которого требуется ваш API-ключ, внимательно изучите компанию и сам продукт. Проверьте отзывы, ознакомьтесь с политикой конфиденциальности и проверьте, не высказывало ли сообщество каких-либо опасений по поводу безопасности.
Установите разумные лимиты расходов
Установите несколько пороговых значений расходов (например, 90% и 95%) относительно ежемесячного бюджета на уровне организации или проекта, чтобы отслеживать ежемесячные расходы.
Настройте получателей электронной почты для интеграции со списками рассылки, платформами управления инцидентами и платформами обмена сообщениями. Это можно настроить в параметрах платформы.
Не включайте API-ключ в релиз
Может возникнуть соблазн встроить ваш API-ключ непосредственно в приложение, чтобы избежать необходимости запускать сервер для мобильного приложения или аналогичного сценария использования. Однако это делает API-ключ уязвимым для неправомерного использования.
Проводите тщательные проверки кода
Перед отправкой кода в публичные репозитории проверяйте его, чтобы убедиться, что в нем не раскрывается конфиденциальная информация, например API-ключи.
Используйте инструменты автоматизированного сканирования, которые могут выявлять потенциальные утечки. С дополнительными рекомендациями вы можете ознакомиться в руководстве GitHub по сканированию секретов.
Если OpenAI обнаруживает API-ключ в открытом доступе в Интернете или его утечку в приложении, опубликованном в магазине приложений, API-ключ немедленно отключается.
Реализуйте смену ключей
Периодически меняйте свои API-ключи, удаляя старые ключи и создавая новые через панель управления API-ключами.
Предотвращение захвата учетной записи
Захват учетной записи происходит, когда кто-то получает несанкционированный доступ к вашей учетной записи, может использовать через нее сервисы OpenAI, а счет приходится оплачивать владельцу учетной записи.
Используйте надежные и уникальные учетные данные для входа
Если вы используете пароль: используйте уникальный пароль, который вы не используете на других сайтах. Рекомендуем использовать менеджер паролей для создания и хранения паролей.
Если вы считаете, что ваш пароль мог быть раскрыт, использован повторно или передан другим лицам, немедленно смените его.
Включите многофакторную аутентификацию (MFA)
Включите многофакторную аутентификацию (MFA), чтобы добавить дополнительный этап проверки при входе. Дополнительные сведения см. в разделе «Включение и отключение многофакторной аутентификации (MFA)».
Даже если кто-то узнает ваш пароль, ему понадобится пройти еще один этап подтверждения личности, чтобы получить доступ к вашей учетной записи.
Включение MFA не завершает уже активные сеансы. Чтобы закрыть доступ к вашей учетной записи для пользователей, которые уже вошли в нее, сначала сбросьте пароль, а затем включите MFA.
Если вам нужна защита учетной записи с аппаратной поддержкой и у вас еще нет ключа безопасности: соответствующие пользователи OpenAI могут получить комплект OpenAI + Yubico YubiKey. Подробнее: OpenAI + Yubico YubiKey.
Использование расширенной безопасности учетной записи
Для соответствующих личных учетных записей ChatGPT доступна функция «Расширенная безопасность учетной записи» (Advanced Account Security), которая добавляет более строгие требования ко входу в систему и усиленные меры защиты учетной записи. Дополнительную информацию см. в разделе «Расширенная безопасность учетной записи». Функция недоступна для пользователей ChatGPT Enterprise, учетных записей, управляемых организацией, а также учетных записей, связанных с доменом, управляемым организацией.
Будьте осторожны с электронными письмами и ссылками
С осторожностью относитесь к электронным письмам, в которых пользователей просят предоставить учетные данные или перейти на веб-страницы, требующие ввода данных учетной записи.
Всегда перепроверяйте адрес электронной почты и URL, чтобы убедиться, что они связаны с надежным источником.
Реагирование при подозрении на компрометацию
Если вы считаете, что ваш API-ключ был скомпрометирован или подозреваете несанкционированную активность в своей учетной записи, действуйте быстро.
Удалите API-ключи
Удалять API-ключи можно через панель управления API-ключами.
OpenAI также поддерживает отслеживание использования по API-ключу. Это упрощает просмотр данных об использовании по отделам, командам, продуктам или проектам за счет использования отдельных API-ключей для каждого из них.
Свяжитесь со службой поддержки OpenAI
Чем раньше вы сообщите о проблеме, тем быстрее OpenAI сможет помочь решить ее и уменьшить возможный ущерб. Чтобы связаться со службой поддержки OpenAI, откройте новый чат на любой странице Справочного центра.
Проверьте активность вашей учетной записи
Проверьте учетную запись на наличие подозрительной активности — например, неожиданного использования API. Сведения, которые вы предоставите, могут помочь при восстановлении вашей учетной записи.
Завершить все сеансы
Вы можете выйти из всех активных сеансов на всех устройствах. Инструкции см. в разделе: «Завершение всех сеансов».
В ChatGPT:
Перейдите в настройки.
Выберите пункт «Безопасность».
Выберите «Активные сеансы».
Найдите пункт «Завершить все сеансы».
Нажмите «Выйти со всех устройств».
В модальном окне подтверждения нажмите «Выйти со всех устройств».
Вы выйдете из системы на всех устройствах и завершите все активные сеансы, включая текущий. Это может занять до 30 минут.
На платформе перейдите в ваш профиль > раздел «Безопасность» и нажмите «Выйти со всех устройств».
Завершение других сеансов ChatGPT может занять до 30 минут.