❌ 危险写法:密钥写在代码里
import openai
client = openai.OpenAI(
api_key="sk-proj-abc123..."
)
✅ 正确写法:从环境变量读取
import openai, os
client = openai.OpenAI(
api_key=os.environ.get("OPENAI_API_KEY")
)
黄金法则:代码里出现密钥字符串 = 密钥已泄露。GitHub 的 Secret Scanner 会在推送后秒级扫描,发现 sk- 等前缀就通知厂商吊销。即使立刻删除提交,Git 历史里仍然保存着。