Chat GPT OpenAI api 密钥安全问题

问题描述 投票:0回答:2

我在 

iOS application
中使用了 chat gpt open ai API,他们的 https API 需要带有 API 密钥的标头中的授权密钥。

curl https://api.openai.com/v1/completions \
-H "Content-Type: application/json" \
-H "Authorization: Bearer YOUR_API_KEY" \
-d '{"model": "text-davinci-003", "prompt": "Say this is a test", "temperature": 0, "max_tokens": 7}'

https://platform.openai.com/docs/api-reference/making-requests

我已经尝试使用嗅探器应用程序“Http Checker”来检查 api 密钥是否可以被嗅探并且很容易被解码。

有什么解决方案可以避免此 API 密钥被暴露? 正如他们的 api 文档明确所说

-H "Authorization: Bearer YOUR_API_KEY" \

因此,任何使用 iOS 应用程序的人都可以嗅探并使用 API_KEY

还有多种其他方法可以将开放的 ai API 移动到云功能、自定义服务器等,但如果有人直接将 API 集成到移动应用程序中, 有没有办法让这个 API_KEY 不能直接使用第三方应用程序访问?

ios api security https openai-api
2个回答
1
投票

好吧,凭证是通过 HTTPS 传输的。因此,不是每个人都可以嗅探它,只有有权访问未加密 HTTP 数据的人才能嗅探到它。这正是 exactly https 应该防止的东西。

您只能“嗅探”数据,因为您故意使用代理服务器或类似服务器打开连接并信任他们的 TLS 无效证书。

0
投票

我不知道为什么最初的问题被否决了。在我看来,这是一个完全合理的担忧。人们只需要安装一个像“Proxyman”这样的应用程序或任何替代品,并允许 https 嗅探这个域,然后就可以很容易地看到解密的 https 响应。 ssl pinning,就像 Holger 建议的那样,在这里不是一个选项,因为如果我没记错的话,我们需要知道 openai 服务器的私钥。你必须有自己的中间后端,在上面做一些加密。

所以我也想知道有没有更好的办法

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.