原来有这么多人把 OpenAI/Claude 的 API Key 直接推上 GitHub?

点击关注公众号，Java干货及时送达

我现在搞开发，最多的麻烦就是整了各大平台的 API KEY，Claude、OpenAI、阿里云、GLM、Kimi、MiniMax……每接一个模型，就多一串 Key。

其实，刚开始还挺规范，老老实实写在 .env 里，分门别类存好。

但用着用着，我自己都忘记 Key 到底放哪了？

有时候为了图省事，直接硬写到了代码文件，如果反手一个 git push 到 GitHub 公共仓库，那被人知道了，钱包可扛不住～

所以，大家必须平时要记得把 .env 这种类似的配置文件放在 .gitignore 里。

然后千万别硬写到代码文件中。 

平常测试代码直接写死的 Key，也要记得删。 

你用 Google 测试下这个命令，有惊喜：

intext:"openai_api_key=sk" site:".github.com" -gist

真的很多人：

有博主还发文说发现 AWS 账单按 $200/秒的扣费。

泄露在 Github 上的的 Key  分钟被请求的 5 万次，妥妥的做慈善了。

还有开发者把 .env 文件直接 commit 上去，Claude 帮他整理了一堆 Key，结果全被公开在 Gist 上…… 现场教学免费送 Key。

然后好了，账单来了～

这种案例还不少～

Gemini Key 泄露后，直接破产：

现在厂家应该设置欠费后直接断了发送 Token～

根据 GitGuardian 和 Snyk 的最新报告：

• 2025 年，2900 万个 硬编码凭证（secrets）被公开 push 到 GitHub 公共仓库。
• AI 服务相关的 Key 同比暴增 81%，DeepSeek 一家就泄露了 11.3 万个。
• 65% 的 Forbes AI 50 顶级 AI 公司，都在 GitHub 上留下了已验证的有效 Key。

OpenAI、Anthropic（Claude）、Google Gemini、AWS、Stripe、Groq……几乎所有热门服务的 Key 都在裸奔。

有人专门做了实时监控网站 apiradar.live，它像监控器一样 24 小时刷 GitHub 公共事件流，一旦发现新泄露的 OpenAI/Claude/Gemini Key，立马报警。

apiradar.live 会 24 小时刷 GitHub 公共事件流，一旦发现新泄露的 OpenAI/Claude/Gemini Key，立马报警：

网站首页显示平台已经发现并处理了超过 3.7 万个活跃的 API 密钥泄露威胁。

所以大家要管好自己的 KEY，现在的 KEY 就是我们的数字钱包。

管好 KEY = 管好钱包 = 管好饭碗。

一定要记得把 .env 这种类似的配置文件放在 .gitignore 里～ 

往
期
推
荐
1、停止使用 `let` 或为什么它在 JavaScript/TypeScript 中是不必要的【包邮送书】
2、MyBatis-Plus 开发提速器：mybatis-plus-generator-ui
3、MyBatis-Plus 开发提速器：mybatis-plus-generator-ui
4、美团一面：Spring Cloud 远程调用为啥要采用 HTTP，而不是 RPC？
5、相比高人气的Rust、Go，为何 Java、C 在工具层面进展缓慢？
6、SQLite这么小众的数据库，到底是什么人在用？
点分享
点收藏
点点赞
点在看