Короткий ответ
LLMEasy — это API gateway. Его основная задача — передать ваш запрос выбранной upstream-модели и записать данные, необходимые для billing, usage records и диагностики ошибок. При работе с API придерживайтесь принципа минимизации данных. Не добавляйте в prompts, файлы и tool output лишние персональные данные, секреты, платежную информацию и коммерчески чувствительные материалы. Храните API Keys в переменных окружения, secret managers или CI secrets. Не коммитьте их в публичные репозитории.Граница безопасности данных
| Тип | Что это значит |
|---|---|
| API Key | Подтверждает ваши запросы; храните его безопасно |
| Содержимое запроса | Prompts, контекст, фрагменты файлов или результаты tools, отправленные модели |
| Содержимое ответа | Текст, код или структурированный результат от модели |
| Usage information | Модель, tokens, стоимость, status code, время запроса и другие billing- или debug-метаданные |
| Upstream-модель | Сервис или provider, который обрабатывает inference request |
Защита передачи
Все API-вызовы должны идти через HTTPS. При настройке Base URL используйте адресhttps://, указанный в документации.
Не передавайте API Keys и содержимое запросов через plaintext HTTP. Если клиент, proxy или локальный инструмент просит отключить TLS verification, сначала проверьте причину. Не делайте такую настройку вариантом по умолчанию.
Logs и usage records
Для billing, списания баланса, диагностики ошибок и risk control API gateway обычно записывает request metadata:- Время запроса
- Использованный API Key или key group
- Запрошенную модель
- Token usage
- Успешность запроса
- Error status
Что делать на стороне пользователя
- Не храните API Keys в кодовых репозиториях.
- Не показывайте полный API Key на скриншотах, в logs и support tickets.
- Используйте разные API Keys для production и тестовой среды.
- Регулярно проверяйте usage records в dashboard.
- Отключайте старые keys после ухода сотрудника, завершения проекта или подозрения на утечку.
- Не отправляйте в prompts документы, банковские карты, пароли, private keys и другие чувствительные данные без необходимости.
- Если нужно обрабатывать чувствительные бизнес-данные, сначала маскируйте и сокращайте их на своей стороне.
Что делать при аномальном расходе
Если API Key показывает подозрительные вызовы:- Отключите или удалите подозрительный API Key в консоли.
- Посмотрите последние call records: модель, время, источник запроса.
- Проверьте репозитории, CI logs, локальные конфиги и настройки сторонних инструментов на утечку key.
- Создайте новый API Key и передайте его только в нужные среды.
- Если причину найти не удалось, обратитесь в поддержку и укажите диапазон времени, модель и сумму аномального расхода.

