大数跨境

原来有这么多人把 OpenAI/Claude 的 API Key 直接推上 GitHub?

原来有这么多人把 OpenAI/Claude 的 API Key 直接推上 GitHub? 广东金融IT课程学习
2026-06-21
0

我现在搞开发,最多的麻烦就是整了各大平台的 API KEY,Claude、OpenAI阿里云、GLM、Kimi、MiniMax……每接一个模型,就多一串 Key。

其实,刚开始还挺规范,老老实实写在 .env 里,分门别类存好。

但用着用着,我自己都忘记 Key 到底放哪了?

有时候为了图省事,直接硬写到了代码文件,如果反手一个 git push 到 GitHub 公共仓库,那被人知道了,钱包可扛不住~

所以,大家必须平时要记得把 .env 这种类似的配置文件放在 .gitignore 里。

然后千万别硬写到代码文件中。 

平常测试代码直接写死的 Key,也要记得删。 

你用 Google 测试下这个命令,有惊喜:

intext:"openai_api_key=sk" site:".github.com" -gist

真的很多人:

打开 GitHub 搜索框,敲入OPENAI_API_KEY,你就会发现,有人大把的 .env 文件 commit 上去,大量公开的 API KEY,免费使用啊~

有博主还发文说发现 AWS 账单按 $200/秒的扣费。

泄露在 Github 上的的 Key  分钟被请求的 5 万次,妥妥的做慈善了。

还有开发者把 .env 文件直接 commit 上去,Claude 帮他整理了一堆 Key,结果全被公开在 Gist 上…… 现场教学免费送 Key。

然后好了,账单来了~

这种案例还不少~

Gemini Key 泄露后,直接破产:

现在厂家应该设置欠费后直接断了发送 Token~

根据 GitGuardian 和 Snyk 的最新报告:

  • 2025 年,2900 万个 硬编码凭证(secrets)被公开 push 到 GitHub 公共仓库。
  • AI 服务相关的 Key 同比暴增 81%,DeepSeek 一家就泄露了 11.3 万个。
  • 65% 的 Forbes AI 50 顶级 AI 公司,都在 GitHub 上留下了已验证的有效 Key。

OpenAI、Anthropic(Claude)、Google Gemini、AWS、Stripe、Groq……几乎所有热门服务的 Key 都在裸奔。

有人专门做了实时监控网站 apiradar.live,它像监控器一样 24 小时刷 GitHub 公共事件流,一旦发现新泄露的 OpenAI/Claude/Gemini Key,立马报警。

apiradar.live 会 24 小时刷 GitHub 公共事件流,一旦发现新泄露的 OpenAI/Claude/Gemini Key,立马报警:

网站首页显示平台已经发现并处理了超过 3.7 万个活跃的 API 密钥泄露威胁。

所以大家要管好自己的 KEY,现在的 KEY 就是我们的数字钱包。

管好 KEY = 管好钱包 = 管好饭碗。

一定要记得把 .env 这种类似的配置文件放在 .gitignore 里~

【声明】内容源于网络
0
0
广东金融IT课程学习
服务于IT课程学习者
内容 1314
粉丝 0
广东金融IT课程学习 服务于IT课程学习者
总阅读8.8k
粉丝0
内容1.3k