公司 AI 模型 API-Key 安全使用规范
禁止硬编码:不得将 API-Key 写死在代码中,统一通过环境变量或配置中心注入。
禁止上传:不得将包含 API-Key 的文件上传至 Git 仓库(包括私有仓库)。
禁止外泄:不得在 ChatGPT、微信、钉钉、邮件等工具中 明文粘贴 API-Key。
分环境隔离:开发、测试、生产使用不同 API-Key,严格权限控制,避免跨环境泄露。
定期轮换:每季度或半年轮换一次 Key,敏感变更后立即替换。
使用审计日志:启用调用监控、频次限制与异常报警,防止滥用。
最小权限原则:每个 Key 仅授权必要模型与功能,避免“万能钥匙”。
封装接口调用:前端或三方不得直接持有 Key,必须通过后端代理服务访问模型。
📌 一条底线:API-Key 即账户权限本身,泄露即视为重大安全事件处理!
