拿到 API Key 前先搞懂:申請、保管、外洩會怎樣
編輯:BJ最後檢查:2026-05-07主要來源:人工整理
API Key 是 AI 工具連到模型服務時用來驗明身分的密鑰。這篇用白話解釋它像什麼、在哪裡申請、為什麼不能貼到 GitHub、外洩後會發生什麼事,以及新手該怎麼保管。
你讀完這篇,會知道 API Key 是拿來做什麼、什麼情況下要申請、放在哪裡才安全。更重要的是,你會知道它外洩後為什麼可能讓你被扣錢,以及該怎麼立刻處理。
API Key 像一張「可以刷公司帳的門禁卡」
API Key 是一串很長的代碼,通常長得像亂碼。它不是密碼,但用途很接近:當某個工具、網站、程式要呼叫 AI 模型時,服務商會用這串 Key 判斷「這是誰的請求」。
生活化一點講,API Key 像一張門禁卡,而且這張卡不只可以開門,還可能可以刷帳。你把它交給某個 AI 工具,那個工具就能代表你去呼叫 OpenAI、Anthropic、Google 或其他模型服務。模型服務收到請求後,會看這串 Key 屬於哪個帳號、能不能用、剩多少額度、費用要記在哪個帳戶底下。
所以 API Key 不是「AI 工具的序號」,也不是「登入 ChatGPT 的密碼」。它比較像你給程式使用的授權憑證。人登入網站用帳號密碼,程式呼叫 API 用 API Key。
OpenAI 的官方說明把 API Key 描述為用來識別 API 請求的唯一代碼,並提醒不要共用、不要放在前端環境或公開程式碼庫裡。
新手第一次通常會在「接第三方工具」時碰到它
很多人第一次遇到 API Key,不是在寫程式,而是在設定 AI 工具。
你可能下載了 Open WebUI、AnythingLLM、Dify、n8n、某個 VS Code 外掛,或是某個 AI 寫作工具。設定頁面突然跳出一欄:
OpenAI API Key
或是:
Anthropic API Key
這時你會卡住:我不是已經有 ChatGPT 帳號了嗎?為什麼還要 Key?
因為 ChatGPT 網頁版和 API 是兩種不同用法。你在 ChatGPT 網頁上聊天,是直接使用 OpenAI 做好的產品;你把 API Key 填進第三方工具,則是讓那個工具透過你的帳號去呼叫模型。第三方工具負責介面、流程、資料庫或自動化,模型服務負責回答。
這也是為什麼有些工具本身免費,但設定時還是要你填 API Key。它沒有幫你付模型費,只是把你的請求轉送到模型服務商。
申請 API Key 時不要只按「Create」
流程通常很像:到模型服務商的平台頁面登入,找 API Keys、Developer settings、Account settings 之類的地方,建立一把新的 Key。建立時最好取一個看得懂的名稱,例如:
open-webui-home-pc
dify-test-project
n8n-youtube-summary
名稱不是給 AI 看的,是給未來的你看的。當你看到帳單異常、用量暴增、某個工具不用了,你才知道該刪哪一把 Key。
新手常犯的錯,是所有工具共用同一把 Key。短期看起來很方便,長期會變成災難。哪個工具造成費用?哪把 Key 外洩?哪個專案該停?你會完全分不出來。
比較好的做法是:一個用途一把 Key。測試工具一把、正式使用一把、不同專案分開。如果平台能設定權限,就不要一律給最高權限。OpenAI 現在也提供 API Key 權限設定,讓你在建立或編輯 Key 時限制它能做哪些事。
它會花錢嗎?真正花錢的是「用量」
API Key 本身通常不是收費項目。真正花錢的是你拿這把 Key 去呼叫模型時產生的用量。
你可以把 API Key 想成信用卡號。信用卡本身不代表你已經花錢,但只要有人拿它成功刷卡,帳就會算到你頭上。
AI API 的費用通常和這幾件事有關:你輸入多少文字、圖片、音訊或檔案;AI 回答多少內容;你用的是便宜模型還是高階模型;工具有沒有在背景反覆呼叫模型。
最後一點很容易被忽略。你以為自己只按了一次「整理文件」,但某些工具可能會先摘要、再分類、再改寫、再產生向量資料、再檢查格式。畫面上只有一個按鈕,背後可能跑了好幾次 API。
所以填 API Key 前,先找到工具的模型設定、用量限制、是否會自動重試、是否會背景執行。如果平台能設定每月預算、用量警示或支出上限,先設。
API Key 最不該出現的地方
最危險的位置有三種。
第一,公開 GitHub 專案。你把 Key 寫在程式碼裡,再推到 GitHub,掃描機器人很快就可能看到。就算你幾分鐘後刪掉,Key 也可能已經被紀錄。
第二,前端網頁或手機 App。只要 Key 被放進瀏覽器可以看到的程式碼,別人就有機會打開開發者工具或反編譯 App,把它拿走。官方安全建議通常都會要求你透過自己的後端伺服器轉送請求,而不是把 Key 直接塞進使用者端。
第三,截圖、教學文章、YouTube 影片、Discord 訊息。很多外洩不是駭客破解,是使用者自己貼出來。錄教學時畫面上出現 Key,或問問題時把設定檔整段貼出去,都算外洩。
比較安全的做法,是把 Key 放在環境變數、.env 檔、本機密碼管理器、雲端平台的 secrets 管理功能裡。新手不用一開始就懂所有名詞,但要記住一個判斷:Key 不應該出現在任何會被公開、會被同步、會被截圖、會被打包出去的地方。
被洩漏後先刪,不要觀察看看
最直接的後果是被盜用額度。別人拿到你的 Key,就可能用你的帳號呼叫 API,費用記在你身上。
更麻煩的是,你可能不知道它正在發生。某些濫用不是一次刷爆,而是慢慢消耗。等你看到帳單或用量警示時,已經跑了一段時間。
如果這把 Key 有比較高的權限,還可能帶來帳戶資料風險。不同服務商、不同權限設定會有差異,但原則一樣:外洩的 Key 不能繼續留著觀察,應該直接停用或刪除。
處理順序很簡單。先到 API Keys 頁面刪除或 revoke 那把 Key。再檢查 Usage,看有沒有不正常的請求。接著重建一把新 Key,更新到真正需要使用的工具裡。如果費用或帳號狀態已經異常,聯絡官方支援。
不要只把 GitHub 上那行刪掉,然後繼續用同一把 Key。外洩過的 Key 就當作已經不能信任。
怎麼判斷自己已經懂了?
問自己這題:
如果我今天把某個 AI 工具停用,但我的 API 帳單還在增加,我能不能在 5 分鐘內找出是哪一把 Key、哪個工具、哪個專案造成的?
如果答案是不能,代表你還沒有真正管好 API Key。
懂 API Key,不是背得出定義,而是知道三件事:它代表誰、它能用在哪裡、出事時怎麼切斷。
哪裡開始查?
先看官方文件,不要先看二手教學截圖,因為平台介面和安全規則會更新。
- OpenAI 安全最佳實踐:https://help.openai.com/en/articles/5112595-best-practices-for-api-key-safety
- Anthropic API Keys 文件:https://docs.anthropic.com/en/api/getting-started
看官方文件時,不用一次讀完 API Reference。新手先找這幾個字就好:API keys、usage、billing、limits、environment variables、secrets、revoke、rotate。
下一步該看什麼
如果你是因為開源工具要你填 API Key,下一篇可以看 GitHub 開源專案新手工作流程,先學會怎麼看專案是不是可信。準備把 AI 工具架在自己電腦上,可以接著看 Docker 是什麼。如果你想把 API Key 用在自動化流程裡,再看 n8n AI 工作流程自動化。
本文最後查證日期:2026-05-07
延伸閱讀
用中文白話整理 GitHub 開源專案的實際使用流程:怎麼看 README、License、Release、Issues,什麼時候下載、clone 或放棄,以及如何降低新手試跑風險。
Docker 是什麼?AI 工具自架前一定要懂的容器基礎用中文白話解釋 Docker 的 image、container、volume、Docker Compose、下載與價格、安全風險,以及非工程師使用 AI 自架工具前該怎麼判斷要不要學。
n8n 是什麼?AI 自動化工作流工具的功能、限制與新手使用建議用中文白話整理 n8n 的功能、適合對象、使用限制、風險提醒與替代工具,幫助非工程師判斷是否值得使用。
為什麼我的 AI 突然忘記前面講過的事Context window 是 AI 一次能讀進腦中的上下文容量,這篇用白話解釋它為什麼會讓 AI 忘記前文、長對話為什麼會失控、它和 Token 費用有什麼關係,以及新手該怎麼整理對話。
Token 到底怎麼算:為什麼 AI 用越多越貴Token 是 AI 計算文字與多媒體輸入用量的基本單位,不等於中文一個字或英文一個字,這篇用白話解釋 Token 怎麼影響 API 費用、長對話為什麼會變貴,以及新手如何避免不小心燒額度。
開源 AI 工具可以放心裝嗎?先看 README、Issue、Release開源不代表一定安全,也不代表一定危險,這篇教新手用 README、Issue、Release、License 和安全公告快速判斷一個 AI 工具能不能先裝、要不要等、哪些警訊代表不要碰。