跳转到主要内容

简短答案

LLMEasy 是 API gateway。它的核心职责是把你的请求转发到对应的上游模型,并记录必要的计费、用量和故障排查信息。 使用 API 时,仍然建议你遵循最小化原则:不要在 prompt、文件或工具输出中放入不必要的个人隐私、密钥、支付信息或商业机密。API Key 也应该放在环境变量、密钥管理器或 CI secrets 中,不要写进公开代码仓库。

数据安全边界

类型说明
API Key用于认证你的请求,应由你妥善保管
请求内容发送给模型的 prompt、上下文、文件片段或工具结果
响应内容模型返回的文本、代码或结构化结果
用量信息模型、token、费用、状态码、请求时间等计费和排查信息
上游模型实际处理推理请求的模型服务或 provider
LLMEasy 可以帮助你集中管理 API Key、余额和用量记录,但不能替代你自己的数据脱敏、权限管理和项目安全策略。

传输安全

所有 API 调用都应该通过 HTTPS 访问。配置 Base URL 时,请使用文档中的 https:// 地址。 不要使用明文 HTTP 地址传输 API Key 或请求内容。如果某个客户端、代理或本地工具要求你关闭 TLS 校验,应先确认原因,不要把它作为默认配置。

日志和用量记录

为了完成计费、余额扣减、错误排查和风控,API gateway 通常需要记录必要的请求元数据,例如:
  • 请求时间
  • 使用的 API Key 或 key group
  • 请求模型
  • token 用量
  • 请求是否成功
  • 错误状态
这些信息主要用于账单、用量分析和问题定位。排查问题时,优先提供请求时间、模型、错误码和 request id,不要直接发送完整 API Key 或敏感 prompt。

用户侧建议

  1. 不要把 API Key 写进代码仓库。
  2. 不要在截图、日志或工单里暴露完整 API Key。
  3. 对生产和测试环境使用不同的 API Key。
  4. 定期检查 dashboard 中的用量记录。
  5. 对离职成员、失效项目和泄露风险及时禁用旧 Key。
  6. 避免在 prompt 中提交身份证件、银行卡、密码、私钥等高敏信息。
  7. 如果确实需要处理敏感业务数据,先在业务侧做脱敏和最小化。

出现异常用量怎么办

如果你发现 API Key 出现异常调用:
  1. 先在控制台禁用或删除可疑 API Key。
  2. 查看最近的调用记录,确认模型、时间和请求来源。
  3. 检查代码仓库、CI 日志、本地配置和第三方工具配置中是否泄露 Key。
  4. 生成新的 API Key,并只分发给必要环境。
  5. 如果无法定位原因,联系支持并提供时间范围、模型和异常金额。

关于 LLMEasy

LLMEasy 负责模型请求的接入、转发、计费和用量展示。安全责任是共同完成的:平台负责服务侧的访问控制和计费链路,你负责 API Key 保管、权限分配、prompt 数据最小化和工具配置安全。