AI 编程大行其道, 如何避免项目密钥泄露?

密钥也不放在 git 仓库里的啊

@pikko #1 小公司和我个人的项目也没那么严谨, 像 OSS 这些密钥直接就写配置文件中了. 现在意识到 AI 编程出问题了.

没什么诀窍，无非就是照本宣科：不要硬编码。通过服务获取。

btw ，即便是最高风亮节的 Anthropic ，也只是声明了不会用用户的数据再训练。 也就是说，他只能保证你的代码、数据不会被“自己的新模型”吐露给其他用户。但也仅此而已了。

@stinkytofux 配置文件读环境变量，另外一个单独的 sh 文件去赋予环境变量。这是常规操作吧。

每过几个月换个密钥就行了，就算被当作了训练数据也不会立刻反应到市面的模型中

直接用官方的 API 其实没必要担心，别人还看不上你这点小东西。使用你的数据去训练也不会说直接把你的密钥吐给其他用户（稍微理解一下原理就不会有这样的困扰了）。 要是使用的中转站之类的才需要小心，以及一些使用上的引用问题 /t/1175066

如果使用了 CICD 的话，一般会放到项目仓库的 Secret 里面。后端一般是放到 Nacos 里面配置。

@stinkytofux 首先你个人项目小公司无所谓了吧？ 然后就是，总是通过服务器，环境变量来读取，现在 AI 变成都是通过 Agent 来编程的，它执行的命令要获取真实的秘钥也并不是什么难事。 最保险的还是测试密钥跟线上密钥分开