大家好,我是程序员晚枫。
我见过最心疼的事,就是有人在群里发截图"请教API Key怎么写",截图里把自己的Key拍得清清楚楚——然后第二天,账户欠费了。
API Key不是一串乱码,它是你的钱包钥匙。 谁拿到了,谁就能用你的钱调AI。
今天把这事儿彻底讲清楚——它是什么、怎么用、怎么保命。
一句话先说清楚
“API Key = 你的AI钱包钥匙 + 身份证
没有它,AI不认识你;有了它,每次调AI都花钱。泄露了?别人拿你的钱白嫖。
为什么你的AI账户会被"偷刷"?
先看两个真实故事。
故事1:GitHub发代码,一晚上烧了2万
有人把代码推到GitHub,代码里写了一行: "我的API Key是 sk-proj-AbCdEf1234……"
GitHub是公开的。全世界的爬虫都在扫描公开代码,一发现Key就拿去用。
结果——有人用他的Key调了一晚上GPT-4。第二天一看账单:2万块。
故事2:微信群发截图,账户直接欠费
有人在群里截图问问题,截图里Key拍得清清楚楚。
群里几百人看到了,有人复制去用。
第二天——账户欠费了。
API Key泄露,不是"别人能冒充你",是"别人能直接花你的钱"。
API Key到底是什么?
像钱包钥匙,也像身份证
你去银行取钱,柜员第一件事让你干嘛?出示身份证。
没有身份证 → 拒绝服务 有身份证 → 知道你是谁 → 可以取你的钱
AI服务的逻辑一模一样:
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
身份证丢了,别人没法直接取你的钱。但API Key丢了,别人可以直接花你的钱——这是两者最大的区别。
不同平台的API Key,长什么样?
|
|
|
|
|---|---|---|
| DeepSeek |
|
|
| 阿里通义 |
|
|
| OpenAI |
|
|
| Claude |
|
|
申请方法,三步搞定:
-
去平台官网注册账号 -
找到"API Keys"或"密钥管理"页面 -
点击"创建新密钥",复制保存
“⚠️ 重要:大多数平台,Key只显示一次!创建后立刻复制保存,关闭页面就找不回来了。
你的API Key,怎么跟钱挂钩?
你调一次AI,后台发生了什么?
你:用API Key调用AI
↓
AI系统:识别你的账号
↓
记录:你用了多少Token
↓
扣费:按Token数量从你的账户扣钱
↓
发账单给你
申请了Key,不代表能免费用。Key绑定的是你的付费账户。
2025-2026年主流平台价格对比
|
|
|
|
|
|---|---|---|---|
| DeepSeek-V3 |
|
|
|
| Qwen-Plus |
|
|
|
|
|
|
|
|
|
|
|
|
|
“💡 结论:中文场景用DeepSeek或Qwen,价格是GPT-4o的1/10,效果还接近。
API Key安全:4条保命铁律
铁律1:永远不要把Key直接写在代码里
❌ 危险做法:把Key直接写在代码里,代码推到GitHub全世界都能看到——你的钱会被人白花。
✅ 正确做法:把Key存在电脑系统的环境变量里,代码运行时从系统读取,代码里永远不出现真正的Key。
简单说:你的Key,只存在你脑子里和系统环境里,不存在任何文件里。
铁律2:用单独文件管理所有Key
创建一个文件(类似这样的文件,名字以点开头),里面存你所有的Key。
然后在另一个文件(.gitignore)里写一行,让GitHub忽略这个文件。
这样换电脑、换环境,只改这一个文件就行,不用到处找Key在哪里。
铁律3:每个平台单独一个Key,别混用
❌ 所有平台用同一个Key → 泄露一个,全完 ✅ 每个平台单独Key → 泄露一个,只影响一个
另外,大多数平台支持设置"月度消费上限"。新手建议设50-100元/月,超了就暂停。
铁律4:每3个月换一次Key
就算没泄露,也要定期换。
开启平台的账单告警,发现异常消费立刻去撤销那个Key。
API Key被泄露了怎么办?
立刻做这三件事,优先级从高到低:
-
第一时间去平台撤销这个Key(最重要!) -
创建新Key,替换掉所有用到这个Key的地方 -
检查最近的使用记录,看有没有异常消费
泄露后的Key,就像被你丢在公共场所的钥匙——在你挂失之前,谁捡到都能用。
一句话总结
-
✅ API Key = 钱包钥匙。谁拿到,谁花钱 -
✅ 泄露了立刻撤销,别犹豫 -
✅ 用环境变量管理Key,代码里永远不出现 -
✅ 中文场景用国产,价格是GPT-4o的1/10 -
✅ 设月度预算,别让账单爆表