📰前言
之前的笔记中发布过一篇文章,详细介绍了 Ollama 本地存在的安全风险,这种风险可能导致本地大模型被他人 “白嫖”。近期,笔者又发现了新的 “白嫖手段”。
在正式开始探讨之前,我们先来了解一下各大厂商所提供的大模型-API。
🧐API 科普
AI大模型提供的 API(Application Programming Interface,应用程序编程接口)是一组允许开发者将 AI 大模型的功能集成到自己的应用程序、系统或服务中的工具和协议。开发者通过 API 可以直接调用 AI 大模型的核心能力,如语言生成、图像识别、语音交互等。以语言生成为例,像 OpenAI 的 GPT 系列模型,开发者调用其 API 后,只需输入一些提示词,就能获取模型生成的连贯、有逻辑的文本内容,可应用于智能写作、聊天机器人等领域。
下面是国内主流大模型的API的申请和使用指南:
月之暗面 / Kimi chat
API key申请地址:https://platform.moonshot.cn/console/api-keys
API文档地址:https://platform.moonshot.cn/docs
API定价信息:https://platform.moonshot.cn/docs/price/chat
百度 / 文心一言
先要申请Key,先要创建应用。登录百度智能云千帆控制台创建应用,创建成功后,在应用列表页获取AppID、API Key、Secret Key 等信息。
API key申请地址:https://console.bce.baidu.com/qianfan/ais/console/applicationConsole/application
API文档地址:https://cloud.baidu.com/doc/WENXINWORKSHOP/s/flfmc9do2
API定价信息:https://cloud.baidu.com/doc/WENXINWORKSHOP/s/Blfmc9dlf
智谱 / GLM
API key申请地址:https://bigmodel.cn/usercenter/apikeys
API文档地址:https://bigmodel.cn/dev/api
API定价信息:https://open.bigmodel.cn/pricing
MiniMax
API key申请地址:https://platform.minimaxi.com/user-center/basic-information/interface-key
API文档地址:https://platform.minimaxi.com/document/notice
API定价信息:https://platform.minimaxi.com/document/price
阿里 / 通义千问 (Qwen)
API key申请地址:https://dashscope.console.aliyun.com/apiKey
API文档地址:https://help.aliyun.com/zh/dashscope/developer-reference
API定价信息:https://dashscope.console.aliyun.com/billing
科大讯飞 /讯飞星火 (Spark)
跟百度文心一言一样,需要先创建应用(https://console.xfyun.cn/app/myapp),然后在应用里获取Key
API key申请地址:https://console.xfyun.cn/services/cbm
API文档地址:https://www.xfyun.cn/doc/spark/Web.html
API定价信息:https://xinghuo.xfyun.cn/sparkapi
DeepSeek(深度求索)
API key申请地址:https://platform.deepseek.com/api_keys
API文档地址:https://platform.deepseek.com/api-docs/zh-cn/
API定价信息:https://platform.deepseek.com/api-docs/zh-cn/pricing
💻API调用与安全风险
有了 API 文档和 API 后,开发者通常会使用 Python、Java 等主流编程语言进行 API 调用,并且一般会把 API 存放在诸如.conf、.md、.config 等后缀的文件中。更为关键的是,开发者可能会将自己的项目源代码发布到各类代码平台,比如 GitHub、Gitee 等。此时,如果你的 API 存在于代码里并上传至代码平台,就会存在安全风险。 例如,我借助豆包生成了一段调用 DeepSeek API 的代码。 提示词:
我要使用python调用deepseek的API,将我的api存放在配置文件里面,请帮我生成代码。
首先会将api存放在配置文件中,最终生成代码进行调用
import configparser
import requests
# 读取配置文件
config = configparser.ConfigParser()
config.read('config.ini')
# 获取 API 密钥
api_key = config.get('DeepSeek', 'api_key')
# DeepSeek API 端点(假设的端点,实际需根据文档确定)
api_url = "https://api.deepseek.com/v1/chat/completions"
# 请求头
headers = {
"Content-Type": "application/json",
"Authorization": f"Bearer {api_key}"
}
# 请求体
data = {
"messages": [
{
"role": "user",
"content": "你好,给我讲个笑话。"
}
]
}
try:
# 发送 POST 请求
response = requests.post(api_url, headers=headers, json=data)
response.raise_for_status() # 检查请求是否成功
# 解析响应
result = response.json()
print(result)
except requests.exceptions.HTTPError as http_err:
print(f"HTTP error occurred: {http_err}")
except Exception as err:
print(f"Other error occurred: {err}")
🔍搜索暴露的API
那么我们如何借助代码平台搜索暴露出来的api呢?
首先使用deepseek问一下,开发者高频使用的deepseekapi变量名称是啥 提示词:
开发者经常在代码中配置一个变量,将deepseek的api赋值给他,请帮我列举10个开发者在代码项目中高频使用的变量名称。
答案
1. deepseek_api_key
2. DEEPSEEK_API_KEY
3. deepseek_access_key
4. deepseek_auth_key
5. prod_deepseek_api_key
6. dev_deepseek_api_key
7. config_deepseek_api_key
8. settings_deepseek_api_key
9. self.deepseek_api_key
10. cls.deepseek_api_key
我们以DEEPSEEK_API_KEY为例:
打开github:https://github.com/
,在搜索框中直接输入DEEPSEEK_API_KEY。
点击code,可以看到直接搜到了一个deepseekapi。
如何更精准的进行搜索呢,继续借助deepseek。
我要在github上搜索代码中存在以下变量的代码 DEEPSEEK_API_KEY,这些变量的值与下面的变量类似,DEEPSEEK_API_KEY = 'sk-xxxxxxxxxxxxx'
好了,这个语法基本上可以通杀了
DEEPSEEK_API_KEY AND sk-
除了deepseek的api,其他ai的api都可以搜索。
⚠️温馨提醒
最后,提醒大家不要做违法犯罪的事情,如果需要 api 自己去申请,同时检查一下自己代码是否存在 api 并且被上传至开源平台。
原文始发于微信公众号(土拨鼠的安全屋):如果借助DeepSeek白嫖DeepSeek-API?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论