[余额飞跑]

[lixiang117423]

描述问题 一晚上就这样挂着，啥也没干，余额就消费了6刀。按理说6刀可以恢复很多次对话了。

如何复现 没有任何操作。

截图 昨天晚上还是已使用10.0左右，今早上就是16.72了。

一些必要的信息

• 系统：Linux Ubuntu 20.0 LTS
• 浏览器： Edge
• 版本： 5843303
• 部署方式：docker

[StereoApp]

有没有加密码啊，会不会被别人用了

[lixiang117423]

有没有加密码啊，会不会被别人用了

加了密码的，我前天才搭建的，就我自己知道。这两天的使用量不超过50个对话。。。

[reddaw]

一样的问题，周二部署下来，一共提问不超过10次，余额消耗了$8，昨天晚上到今天一次没用过还消耗了$1

[emvuys]

key 泄漏了吧

[cheng6563]

密码是不是可以爆破啊？ 反正我是CF直接加了个客户端证书用的，密码都没加。

[asaketsu]

压缩字段重复处理或上下文处理有bug

[Yidadaa]

去 openai 官网查看你的 api key 消费记录，如果你的 token 每小时都有消费，并且每次都消耗了上万 token，那你的 key 一定是泄露了，请立即删除重新生成。

不要在乱七八糟的网站上查余额。

[Yidadaa]

另外你使用 docker 部署，如果你服务器被挂了木马或者用了来路不明的宝塔之类的玩意儿，依然有泄露风险。

[Yidadaa]

另外关于密码爆破的可能性，目前密码是通过 md5 加密存储，如果你的密码设置很短，比如 5 位以内的字母，那么爆破成本是非常低的，建议你搜索一下 docker 的日志记录，确认是否有人大量尝试了密码组合，关键字：got access code

[Yidadaa]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

[leochen12-rgb]

建议作者加一下log，统计访问的time、IP和token

[lixiang117423]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

[potus2030]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。 首先是你的地址泄露了吧，否则别人怎么爆破？

[cheng6563]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

[wk-mike]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

[cheng6563]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

我是自建服务器的，Vercel 应该不行。Vercel 无法强制要求请求通过CF验证再进入后台，就算套CF别人改下自己的Hosts就直接绕过CF进你的应用了。

[nullcache]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

[Yidadaa]

目前不支持部署到 cf pages，cf 尚未支持 nextjs13 的新特性。

[Pessimisticc]

不要使用第三方查余额网站，github上star多的稍微好点

[Yidadaa]

已经补充到文档：https://github.com/Yidadaa/ChatGPT-Next-Web/blob/main/docs/faq-cn.md#%E4%B8%BA%E4%BB%80%E4%B9%88%E6%88%91%E7%9A%84-token-%E6%B6%88%E8%80%97%E5%BE%97%E8%BF%99%E4%B9%88%E5%BF%AB

[doherty88]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

[Cp0204]

不要使用第三方查余额网站，github上star多的稍微好点

是的，也不要在不信任的第三方页面填key使用，都有盗用风险

[Feng267]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

[t7aliang]

建议作者加一下log，统计访问的time、IP和token

赞成👍

[Maasea]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

可以通过自定义 vercel 项目的名称来防止拼接。

但是目前项目没有针对 vercel 的评论限制。这使得每次build，vercel 都会在最新的 commit 留下评论，评论内容是可访问的项目的URL。 例如 https://github.com/Yidadaa/ChatGPT-Next-Web/commit/913305190aaf29be4d7e776a40b8d2603be17022#commitcomment-108011876

可以通过添加配置文件的方式，关闭 vercel 的评论。参考地址

@Yidadaa

[ugpu]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

简单点就是 余额不足 绑定一直可以消费的卡

[Qxxxx]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢 顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

@nullcache 你成功部署在cf pages上了吗？

[Yidadaa]

@ly0813 你可以尝试破解一下

[IOLOII]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

从别人那里买的key吗？可能一个key卖给了很多人吧

[Li1177]

另外你使用 docker 部署，如果你服务器被挂了木马或者用了来路不明的宝塔之类的玩意儿，依然有泄露风险。

很不好意思问一个不厚道的问题，主要我是纯小白。有了chatgpt以后，应该很多小白都在接触代码了。 我想问的是：我用dock的方式安装你的项目到服务器上，会不会把我的APIKEY泄露给你啊，实在抱歉，我这么问你。 另外包括有些像angent gpt ， autogpt这种的也会有这种风险吗？ 请您解释一下好吗？ 谢谢啦！