你的AI账号,1分钟值多少钱?搞懂API Key,别让账户被偷刷
大家好,我是程序员晚枫。
我见过最心疼的事,就是有人在群里发截图"请教API Key怎么写",截图里把自己的Key拍得清清楚楚——然后第二天,账户欠费了。
API Key不是一串乱码,它是你的钱包钥匙。 谁拿到了,谁就能用你的钱调AI。
今天把这事儿彻底讲清楚——它是什么、怎么用、怎么保命。
一句话先说清楚
API Key = 你的AI钱包钥匙 + 身份证
没有它,AI不认识你;有了它,每次调AI都花钱。泄露了?别人拿你的钱白嫖。
为什么你的AI账户会被"偷刷"?
先看两个真实故事。
故事1:GitHub发代码,一晚上烧了2万
有人把代码推到GitHub,代码里写了一行:
"我的API Key是 sk-proj-AbCdEf1234……"
GitHub是公开的。全世界的爬虫都在扫描公开代码,一发现Key就拿去用。
结果——有人用他的Key调了一晚上GPT-4。第二天一看账单:2万块。
故事2:微信群发截图,账户直接欠费
有人在群里截图问问题,截图里Key拍得清清楚楚。
群里几百人看到了,有人复制去用。
第二天——账户欠费了。
API Key泄露,不是"别人能冒充你",是"别人能直接花你的钱"。
API Key到底是什么?
像钱包钥匙,也像身份证
你去银行取钱,柜员第一件事让你干嘛?出示身份证。
没有身份证 → 拒绝服务
有身份证 → 知道你是谁 → 可以取你的钱
AI服务的逻辑一模一样:
| 没有API Key | 有API Key |
|---|---|
| ❌ AI拒绝服务 | ✅ AI开始工作 |
| ❌ 不知道谁在用 | ✅ 记录你的用量 |
| — | ✅ 按Token从你的账户扣钱 |
身份证丢了,别人没法直接取你的钱。
但API Key丢了,别人可以直接花你的钱——这是两者最大的区别。
不同平台的API Key,长什么样?
| 平台 | Key长什么样 | 能免费用吗 |
|---|---|---|
| DeepSeek | 一串字母数字,如 sk-xxxxx | ✅ 有免费额度 |
| 阿里通义 | 一串字母数字,如 sk-xxxxx | ✅ 有免费额度 |
| OpenAI | sk-proj-开头的一长串 | ❌ 需绑信用卡 |
| Claude | sk-ant-开头的一长串 | ❌ 需付费 |
申请方法,三步搞定:
- 去平台官网注册账号
- 找到"API Keys"或"密钥管理"页面
- 点击"创建新密钥",复制保存
⚠️ 重要:大多数平台,Key只显示一次!创建后立刻复制保存,关闭页面就找不回来了。
你的API Key,怎么跟钱挂钩?
你调一次AI,后台发生了什么?
1 | 你:用API Key调用AI |
申请了Key,不代表能免费用。Key绑定的是你的付费账户。
2025-2026年主流平台价格对比
| 平台 | 输入(/百万Token) | 输出(/百万Token) | 1万字约花多少 |
|---|---|---|---|
| DeepSeek-V3 | ¥2 | ¥8 | 约0.1元 |
| Qwen-Plus | ¥2 | ¥6 | 约0.1元 |
| GPT-4o | ¥18 | ¥72 | 约1元 |
| Claude 3.5 | ¥22 | ¥108 | 约1.5元 |
💡 结论:中文场景用DeepSeek或Qwen,价格是GPT-4o的1/10,效果还接近。
API Key安全:4条保命铁律
铁律1:永远不要把Key直接写在代码里
❌ 危险做法:把Key直接写在代码里,代码推到GitHub全世界都能看到——你的钱会被人白花。
✅ 正确做法:把Key存在电脑系统的环境变量里,代码运行时从系统读取,代码里永远不出现真正的Key。
简单说:你的Key,只存在你脑子里和系统环境里,不存在任何文件里。
铁律2:用单独文件管理所有Key
创建一个文件(类似这样的文件,名字以点开头),里面存你所有的Key。
然后在另一个文件(.gitignore)里写一行,让GitHub忽略这个文件。
这样换电脑、换环境,只改这一个文件就行,不用到处找Key在哪里。
铁律3:每个平台单独一个Key,别混用
❌ 所有平台用同一个Key → 泄露一个,全完
✅ 每个平台单独Key → 泄露一个,只影响一个
另外,大多数平台支持设置"月度消费上限"。新手建议设50-100元/月,超了就暂停。
铁律4:每3个月换一次Key
就算没泄露,也要定期换。
开启平台的账单告警,发现异常消费立刻去撤销那个Key。
API Key被泄露了怎么办?
立刻做这三件事,优先级从高到低:
- 第一时间去平台撤销这个Key(最重要!)
- 创建新Key,替换掉所有用到这个Key的地方
- 检查最近的使用记录,看有没有异常消费
泄露后的Key,就像被你丢在公共场所的钥匙——在你挂失之前,谁捡到都能用。
一句话总结
- ✅ API Key = 钱包钥匙。谁拿到,谁花钱
- ✅ 泄露了立刻撤销,别犹豫
- ✅ 用环境变量管理Key,代码里永远不出现
- ✅ 中文场景用国产,价格是GPT-4o的1/10
- ✅ 设月度预算,别让账单爆表
相关阅读
- 什么是Token? — AI怎么按"字数"收费
- 好险!差点被裁,多亏我学了AI
顺便说一句,我的AI编程实战课...
科技不高冷,AI很好用。
我是晚枫,关注我,带你用AI搞钱,不做AI的韭菜。
🎓 AI 编程实战课程
想系统学习 AI 编程?程序员晚枫的 AI 编程实战课 帮你从零上手!
- 👉 免费试看:B站免费试看前3讲,先看看适不适合自己
- 👉 课程报名:点击这里报名,现在报名还送书📖
微信进群
