安全建议

API Key、服务端调用、团队共享和泄漏处理建议。

0x1c API Key 可以消耗你的额度。所有接入都应该默认按敏感凭证处理。

不要在前端暴露 Key

不要把 0x1c API Key 写在浏览器代码里：

const apiKey = 'sk-...';

这会被任何打开网页的人看到。正确做法是：

前端请求你的后端。
后端保存 0x1c API Key。
后端再调用 0x1c。

不要提交到 Git

检查 .gitignore：

.env
.env.local
.env.*.local

如果已经提交过 Key：

立即删除 0x1c 控制台里的旧 Key。
创建新 Key。
更新本地和服务器配置。
清理 Git 历史中的敏感信息。

团队协作

推荐：

每个人单独 Key。
每个环境单独 Key。
生产和测试分开。
定期查看用量。
离职或设备丢失时立刻删除对应 Key。

服务端代理

如果你在自己的产品里调用 0x1c，建议做一个后端代理层：

校验你自己的用户身份。
限制每个用户的调用频率。
记录请求日志和错误码。
屏蔽内部 Key。
根据业务选择模型。

这样即使前端被查看，也不会泄漏 0x1c API Key。

泄漏后的处理

如果你怀疑 Key 泄漏：

删除旧 Key。
创建新 Key。
检查最近用量。
排查公开仓库、日志、截图和聊天记录。
给相关服务更换环境变量。

不要等确认被盗刷后再处理。删除旧 Key 的成本远低于异常消耗。

故障排查

按错误码和现象定位 0x1c API、客户端和模型配置问题。

FAQ

0x1c 新手用户最常见的问题。

On this page

不要在前端暴露 Key 不要提交到 Git 团队协作服务端代理泄漏后的处理