Vibe Coding 的概念超紅,畢竟說出可以「出一張嘴」做 App 就夠吸引人了,有激勵你想親自打造小工具,解決工作或生活的問題嗎?
如果有,那我要趕緊告訴你一個重要提醒:Vibe Coding 時千萬留意,你的 AI API Key 是否外洩!
之前有個講師在社群分享:某天發現自己得繳上萬元的「帳單」,因為先前打造的 AI 小工具,不小心讓其他人可以直接用他的 API Key⋯⋯這個血淋淋的教訓,提醒了我務必管好 AI API Key,如果用我的 API Key 去跑 AI 服務,所有 AI 使用費都會算在我頭上,真是太嚇人了。
但之前沒看到哪些人解釋給程式小白,到底該怎麼避免?畢竟有時候就是要調用 AI 的 API,怎麼做比較安全?我特別問了工程師友人,整理出以下的「保命守則」。
你有聽過或類似的 AI 帳單慘案嗎?訂閱《一天一AI》日報,每天和你分享一個AI消息,你也可以回信跟我聊天(或取暖)!
什麼是 AI 的 API key?
OpenAI 或 Gemini 的API key,就像你的信用卡號,使用這些 Key 能直接呼叫 AI,所以拿到的人就能用你的帳號跑 AI、產生費用。
你也可以理解,他就是一串開啟 AI 大門的鑰匙,讓 OpenAI 或 Gemini 知道要跟哪一戶收款。他們會透過這個 API Key 追蹤你的 AI 使用量,例如呼叫了多少次模型、處理了多少文字或圖片,稍微技術一點說,就是消耗多少 token,並據此來計費。
我該怎麼做,AI API Key 才不會外洩?
自己做小工具?API key 別寫在前端
Vibe Coding 時提醒你的 AI:「不要在前端網頁洩漏 API Key」,免得其他人都能在瀏覽器裡找到它,然後盜用。
開發完成,部署前也要檢查成果是否洩漏 API key。把程式碼交給另一個 AI,請它幫你「檢查是否有外洩 API key」。如果有,再請 AI 幫你修改成安全做法。
愛嘗試 AI 小工具?別隨意輸入你的 AI API Key
別人在社群傳開的 AI 工具,如果它要你「輸入自己的 API key」才能用,請三思!這就跟你不會隨便把信用卡號填給不知名的網站一樣,你無法確定開發者是否會收集你的 key。
終極防火牆!從後台設定提醒和上限
立刻到 AI 平台的後台設定「用量上限」或「消費提醒」。就算 key 不小心外洩,也能即時止血!
OpenAI API Key
操作方式:進到 OpenAI Billing 關閉 API 自動加值功能,並在 Limits 設定用量上限。
Gemini API Key
操作方式:進到 Google Cloud Billing 查看用量,並找到預算和快訊 (Budgets & alerts) 設定預算和用量提醒門檻。
想每天收到AI新工具、新知識嗎?歡迎訂閱《一天一AI》日報!
