如果借助DeepSeek白嫖DeepSeek-API?

admin 2025年3月4日14:42:01评论17 views字数 3473阅读11分34秒阅读模式

📰前言

之前的笔记中发布过一篇文章,详细介绍了 Ollama 本地存在的安全风险,这种风险可能导致本地大模型被他人 “白嫖”。近期,笔者又发现了新的 “白嫖手段”。

在正式开始探讨之前,我们先来了解一下各大厂商所提供的大模型-API。

🧐API 科普

AI大模型提供的 API(Application Programming Interface,应用程序编程接口)是一组允许开发者将 AI 大模型的功能集成到自己的应用程序、系统或服务中的工具和协议。开发者通过 API 可以直接调用 AI 大模型的核心能力,如语言生成、图像识别、语音交互等。以语言生成为例,像 OpenAI 的 GPT 系列模型,开发者调用其 API 后,只需输入一些提示词,就能获取模型生成的连贯、有逻辑的文本内容,可应用于智能写作、聊天机器人等领域。

下面是国内主流大模型的API的申请和使用指南:

月之暗面 / Kimi chat

API key申请地址:https://platform.moonshot.cn/console/api-keys
API文档地址:https://platform.moonshot.cn/docs
API定价信息:https://platform.moonshot.cn/docs/price/chat

百度 / 文心一言

先要申请Key,先要创建应用。登录百度智能云千帆控制台创建应用,创建成功后,在应用列表页获取AppID、API Key、Secret Key 等信息。

API key申请地址:https://console.bce.baidu.com/qianfan/ais/console/applicationConsole/application
API文档地址:https://cloud.baidu.com/doc/WENXINWORKSHOP/s/flfmc9do2
API定价信息:https://cloud.baidu.com/doc/WENXINWORKSHOP/s/Blfmc9dlf

智谱 / GLM

API key申请地址:https://bigmodel.cn/usercenter/apikeys
API文档地址:https://bigmodel.cn/dev/api
API定价信息:https://open.bigmodel.cn/pricing

MiniMax

API key申请地址:https://platform.minimaxi.com/user-center/basic-information/interface-key
API文档地址:https://platform.minimaxi.com/document/notice
API定价信息:https://platform.minimaxi.com/document/price

阿里 / 通义千问 (Qwen)

API key申请地址:https://dashscope.console.aliyun.com/apiKey
API文档地址:https://help.aliyun.com/zh/dashscope/developer-reference
API定价信息:https://dashscope.console.aliyun.com/billing

科大讯飞 /讯飞星火 (Spark)

跟百度文心一言一样,需要先创建应用(https://console.xfyun.cn/app/myapp),然后在应用里获取Key

API key申请地址:https://console.xfyun.cn/services/cbm
API文档地址:https://www.xfyun.cn/doc/spark/Web.html
API定价信息:https://xinghuo.xfyun.cn/sparkapi

DeepSeek(深度求索)

API key申请地址:https://platform.deepseek.com/api_keys
API文档地址:https://platform.deepseek.com/api-docs/zh-cn/
API定价信息:https://platform.deepseek.com/api-docs/zh-cn/pricing

💻API调用与安全风险

有了 API 文档和 API 后,开发者通常会使用 Python、Java 等主流编程语言进行 API 调用,并且一般会把 API 存放在诸如.conf、.md、.config 等后缀的文件中。更为关键的是,开发者可能会将自己的项目源代码发布到各类代码平台,比如 GitHub、Gitee 等。此时,如果你的 API 存在于代码里并上传至代码平台,就会存在安全风险。 例如,我借助豆包生成了一段调用 DeepSeek API 的代码。 提示词:

我要使用python调用deepseek的API,将我的api存放在配置文件里面,请帮我生成代码。
如果借助DeepSeek白嫖DeepSeek-API?

首先会将api存放在配置文件中,最终生成代码进行调用

import configparser
import requests

# 读取配置文件
config = configparser.ConfigParser()
config.read('config.ini')

# 获取 API 密钥
api_key = config.get('DeepSeek', 'api_key')

# DeepSeek API 端点(假设的端点,实际需根据文档确定)
api_url = "https://api.deepseek.com/v1/chat/completions"

# 请求头
headers = {
    "Content-Type": "application/json",
    "Authorization": f"Bearer {api_key}"
}

# 请求体
data = {
    "messages": [
        {
            "role": "user",
            "content": "你好,给我讲个笑话。"
        }
    ]
}

try:
    # 发送 POST 请求
    response = requests.post(api_url, headers=headers, json=data)
    response.raise_for_status()  # 检查请求是否成功

    # 解析响应
    result = response.json()
    print(result)
except requests.exceptions.HTTPError as http_err:
    print(f"HTTP error occurred: {http_err}")
except Exception as err:
    print(f"Other error occurred: {err}")

🔍搜索暴露的API

那么我们如何借助代码平台搜索暴露出来的api呢?

首先使用deepseek问一下,开发者高频使用的deepseekapi变量名称是啥 提示词:

开发者经常在代码中配置一个变量,将deepseek的api赋值给他,请帮我列举10个开发者在代码项目中高频使用的变量名称。

答案

1. deepseek_api_key
2. DEEPSEEK_API_KEY
3. deepseek_access_key
4. deepseek_auth_key
5. prod_deepseek_api_key
6. dev_deepseek_api_key
7. config_deepseek_api_key
8. settings_deepseek_api_key
9. self.deepseek_api_key
10. cls.deepseek_api_key 

我们以DEEPSEEK_API_KEY为例:

打开github:https://github.com/,在搜索框中直接输入DEEPSEEK_API_KEY。

如果借助DeepSeek白嫖DeepSeek-API?

点击code,可以看到直接搜到了一个deepseekapi。

如果借助DeepSeek白嫖DeepSeek-API?

如何更精准的进行搜索呢,继续借助deepseek。

我要在github上搜索代码中存在以下变量的代码 DEEPSEEK_API_KEY,这些变量的值与下面的变量类似,DEEPSEEK_API_KEY = 'sk-xxxxxxxxxxxxx'
如果借助DeepSeek白嫖DeepSeek-API?

好了,这个语法基本上可以通杀了

DEEPSEEK_API_KEY AND sk-
如果借助DeepSeek白嫖DeepSeek-API?

除了deepseek的api,其他ai的api都可以搜索。

⚠️温馨提醒

最后,提醒大家不要做违法犯罪的事情,如果需要 api 自己去申请,同时检查一下自己代码是否存在 api 并且被上传至开源平台。

原文始发于微信公众号(土拨鼠的安全屋):如果借助DeepSeek白嫖DeepSeek-API?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月4日14:42:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如果借助DeepSeek白嫖DeepSeek-API?https://cn-sec.com/archives/3793820.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息