Appearance
DeepSeek API Key 泄露后,第一步不是分析原因,而是立即删除泄露 Key。然后检查用量、创建新 Key、替换环境变量、排查 Git 历史和前端代码。API Key 不能放在网页前端、公开仓库、截图、聊天记录或客户端 App 里。
DeepSeek API Key 泄露了怎么办
先做最重要的一件事:立即删除泄露的 API Key。
不要先截图、不要先研究日志、不要先问 AI。只要你怀疑 Key 出现在公开仓库、网页前端、聊天记录、截图、群聊、第三方工具里,就应该先让它失效。
应急处理顺序
按这个顺序做:
- 登录 DeepSeek 开放平台。
- 删除疑似泄露的 API Key。
- 查看账户余额和用量记录。
- 创建新的 API Key。
- 替换服务器环境变量或密钥管理系统。
- 重启相关服务。
- 检查 Git 历史、CI 日志、前端代码和部署平台变量。
如果你不确定哪个 Key 泄露,宁可全部轮换。
哪些情况算泄露
这些都算高风险:
- Key 被提交到 GitHub、Gitea、GitLab。
- Key 写在前端 JavaScript 里。
- Key 出现在浏览器 DevTools 网络请求里。
- Key 发给 AI 工具帮你调试。
- Key 出现在截图、录屏、教程文章里。
- Key 填进不可信第三方客户端。
- Key 存在公开可访问的
.env、日志、构建产物里。
尤其要记住:前端代码里的 Key 等于公开。
不要在前端直接调用 DeepSeek API
错误做法:
text
浏览器页面 -> 直接请求 DeepSeek API -> 带上 API Key正确做法:
text
浏览器页面 -> 你的后端服务 -> DeepSeek APIKey 应该只存在服务器端。前端只请求你自己的后端,由后端做鉴权、限流、日志和转发。
Git 提交过 Key 怎么办
如果 Key 曾经进过 Git 历史,删除当前文件还不够。因为别人仍然可以从历史 commit 里看到。
处理顺序:
- 先在平台删除旧 Key。
- 创建新 Key。
- 从当前代码移除 Key,改用环境变量。
- 如果仓库公开过,按已泄露处理,不要指望改历史能解决。
- 必要时清理 Git 历史,但这不能替代删除旧 Key。
最重要的是:删除旧 Key 才能真正止损。
后续怎么防止再泄露
建议建立这几条规则:
- 每个项目单独一个 API Key。
- 本地用
.env,并确保.env在.gitignore里。 - 生产环境用部署平台的 Secret 或环境变量。
- 不在前端、移动端、桌面客户端里内置 Key。
- 不把 Key 发给 AI 聊天工具。
- 定期查看用量,异常时立即轮换。
- 重要项目加用量告警和请求日志。
如果你还没申请过 Key,可以先看:DeepSeek API Key 怎么申请。
常见问题
Q: Key 泄露后只改代码可以吗?
A: 不可以。必须删除旧 Key。只改代码不能阻止别人继续使用已经泄露的 Key。
Q: API Key 可以放在小程序、浏览器插件或桌面客户端里吗?
A: 不建议。客户端代码和包体都可能被提取。更安全的做法是走你的后端代理。
Q: 我把 Key 发给 AI 帮我调试了,算泄露吗?
A: 算高风险。建议立即轮换。以后调试时用占位符,例如 sk-xxxx。