自用模式newapi疑似被薅了

小雨 2026-07-13 16:39 1

不知道是什么时候泄露的key,之前在GitHub私有库放了一个AI对话的网页内嵌了key,网站公布后也就是给室友用。(非公开的GitHub仓库也能被扫到吗?)

因为网站用的模型就那几个还是重定向过的,所以我发现有记录直接调用原模型就觉得不对劲。

现在我新建了key并限制了可调用模型,但是纯前端网页好像也只能把key放在网页里了(或者佬友们有什么小妙招)

最新回复 (11)
  • repo 07-13 16:47
    1

    佬友,你需要一个后端服务。把 key 放在网页里,会用 f12 的都能把你的 key 拿走,太不安全了。

  • CornWorld 07-13 16:50
    2

    方法很多呀. 在你跑 new api 的机器上搞一个简单的后端服务就行

  • 某不科学的高数 07-13 16:51
    3

    直接默认前端所有内容都会被泄露,如果实在懒得做后端就搞个IP白名单,只给自己加白

  • randomtron 07-13 16:51
    4

    要是没有后端的话 直接加密一下key把密码告诉同学让他输密码应该就行

  • Codeword Liang 07-13 16:51
    5

    (帖子已被作者删除)

  • ZinGer_KyoN 07-13 16:52
    6

    我的sub2api也被薅过, 明明设置了只有公司邮箱可以注册, 不知道哪里来的佬给我来一个`周星星@我司名称.com"来薅我…

  • Codeword Liang 07-13 16:53
    7

    还是要后端服务的呀,交给ai生成一下,要是再不放心 加一个小加解密,搞点其他的加解密 b64也是一下就试出来了

  • bacon159 07-13 17:22
    8

    我之前 CpA 也好像也被薅过 给我整人晕了 后面赶紧关闭 IP 端口,然后只允许域名访问,并且把密钥改得很复杂

  • DMR 07-13 17:29
    9

    我闲置的newapi也被扫了,用的就是sk-test,不过上面就接了个opencode zen的免费模型,那人调用了一次就走了

  • DMR 07-13 17:31
    10

    这么牛逼的吗?直接创建了个账户

  • rong6 07-13 17:33
    11

    前端内置key很容易被扫到的,佬小心点

* 帖子来源Linux.do
返回