概覽

使用 OpenAI 服務時，務必確保你的 API 金鑰和帳戶安全。請採用以下最佳做法，防範 API 金鑰外洩和帳戶被接管。

保障你的帳戶安全

安全是共同責任。OpenAI 致力保護帳戶存取安全，而以下步驟可協助降低未經授權使用的風險。如帳戶憑證被未經許可使用，請盡快舉報問題。

防止 API 金鑰外洩

API 金鑰是用於呼叫 OpenAI API 的存取碼。如果金鑰外洩，未經授權的使用者可能會透過你的帳戶存取 API。這可能導致未經授權的收費，或出現違反我們服務條款的活動。

使用環境變數

將你的 API 金鑰儲存在開發環境中的環境變數內。這有助避免金鑰出現在應用程式碼中，並降低暴露風險。

如果你使用 GitHub Actions，請使用 GitHub secrets 儲存你的 API 金鑰。

謹慎使用第三方產品

對於要求存取你 API 金鑰的第三方程式庫、框架和工具，請務必謹慎。即使產品看似信譽良好，仍有金鑰暴露或被濫用的風險。

使用任何需要你提供 API 金鑰的第三方產品前，請仔細審查該公司和產品。查看評論、閱讀私隱政策，並留意社群是否提出任何安全疑慮。

設定合理的支出上限

在機構或專案層級按每月預算設定多個支出門檻，例如 90% 和 95%，以監察每月支出。

設定自訂電郵收件人，以整合郵件清單、事故管理平台和訊息平台。這可在 Platform 設定中配置。

不要隨應用程式附上你的 API 金鑰

為免為流動應用程式或類似用例運行伺服器，你可能會想將 API 金鑰直接嵌入應用程式。不過，這會令 API 金鑰容易被濫用。

進行全面的程式碼審查

將程式碼推送至公開儲存庫前，請先審查，確保沒有 API 金鑰等敏感資料暴露。

使用可標示潛在外洩的自動掃描工具。你亦可參閱 GitHub 的密鑰掃描教學，了解更多指引。

當 OpenAI 偵測到 API 金鑰出現在公開互聯網上，或在應用程式商店的應用程式內外洩時，該 API 金鑰會立即被停用。

實施金鑰輪替

定期透過 API 金鑰儀表板刪除舊金鑰並建立新金鑰，以更換你的 API 金鑰。

防止帳戶被接管

當有人未經授權存取你的帳戶，並可能透過該帳戶使用 OpenAI 服務，令帳戶持有人承擔帳單時，就會發生帳戶被接管。

使用強式密碼或 Google 驗證

如果你使用密碼，請使用大小寫字母、數字和特殊字元的組合。我們建議使用密碼管理工具產生和儲存密碼。

每隔數個月更新你的密碼。

啟用多因素驗證 (MFA)

啟用多因素驗證 (MFA)，以加入額外驗證步驟，通常會涉及你的手機。

即使有人取得你的密碼，仍需要第二個因素才能存取你的帳戶。

啟用 MFA 不會取消現有登入。如要封鎖任何已在存取你帳戶的使用者，請先重設密碼，然後啟用 MFA。

使用進階帳戶安全

對於符合資格的消費者 ChatGPT 帳戶，進階帳戶安全會加入更嚴格的登入要求和帳戶保障措施。此功能不適用於 ChatGPT Enterprise 使用者、企業管理帳戶，或與企業管理網域相關聯的帳戶。

謹慎處理電郵和連結

對於要求提供憑證，或將使用者導向需要帳戶資料之網頁的電郵，請務必謹慎。

請務必再次核對電郵地址和 URL，確保它們來自可信來源。

應對疑似遭入侵情況

如果你認為 API 金鑰已遭入侵，或懷疑帳戶有未經授權活動，請迅速採取行動。

刪除你的 API 金鑰

透過 API 金鑰儀表板刪除你的 API 金鑰。

OpenAI 亦支援按 API 金鑰追蹤使用量。透過為每項功能、團隊、產品或專案使用獨立 API 金鑰，可更輕鬆按其查看使用量。

聯絡 OpenAI 支援

你越早舉報問題，OpenAI 就能越早協助解決並減少潛在損害。如要聯絡 OpenAI 支援，請在任何說明中心頁面開啟新聊天。

查看帳戶活動

檢查帳戶是否有不熟悉的活動，例如非預期的 API 使用量。你提供的詳情有助帳戶復原。

登出所有工作階段

你可以在各裝置上登出所有使用中工作階段。

在 ChatGPT 中：

1. 前往設定。

2. 選擇安全性。

3. 選擇使用中工作階段。

4. 找到登出所有工作階段。

5. 選擇全部登出。

6. 在確認彈出視窗中，選擇登出所有裝置。

這會讓你在各裝置上登出所有使用中工作階段，包括你目前的工作階段。這最多可能需時 30 分鐘。

在 Platform 上，前往你的個人檔案 > 安全性，然後選擇登出所有裝置。

其他 ChatGPT 工作階段可能最多需時 30 分鐘才會登出。