Protection de l’API OpenAI : comment éviter les cyberattaques ?

Comment sécuriser votre API OpenAI : quels sont les risques et les solutions ?

Stockage de clé API : un casse-tête sécuritaire2>

Nous sommes en train de développer une application qui communique avec l’API OpenAI. Tout fonctionne bien et nous réfléchissons maintenant à la manière de la déployer pour sa sortie officielle. Cependant, étant donné que notre application communique directement avec OpenAI sans recourir à notre propre serveur comme intermédiaire, il semble que nous devions stocker la clé API côté client (au moins après l’authentification). Je ne vois actuellement pas de moyen de le faire sans risquer qu’un utilisateur inspecte la mémoire ou les appels réseau, trouve la clé API et l’utilise pour ce que l’on pourrait qualifier d’extraction de “bitcoins” équivalent pour l’IA.

Ai-je raté quelque chose, ou la seule façon sécurisée de procéder est-elle d’avoir notre propre serveur agissant en tant qu’intermédiaire entre l’application côté client et l’API OpenAI ?

Quelqu’un a-t-il une expérience pertinente à partager ici ?

Gardez vos données en sécurité

Votre intuition est correcte, l’idée de mettre la clé API dans votre application est une très mauvaise idée. Malheureusement, OpenAI n’offre pas ce service. Vous devez configurer au moins un proxy inverse (probablement avec votre fournisseur cloud préféré) pour rediriger les demandes vers OpenAI.

De manière générale, les personnes utilisent des configurations plus complexes nécessitant plusieurs étapes backend, c’est donc généralement là que se trouve également la connexion OpenAI. Je n’ai pas essayé (et je ne fais pas la promotion de CloudFlare) mais CF propose un produit appelé AI Gateway qui pourrait répondre à vos besoins. Si vous avez un Raspberry Pi à la maison, cela ferait également l’affaire. Ajoutez WireGuard pour protéger votre identité et vous devriez être prêt à partir.

Source : community.openai.com