页面加载中...
Agent 需要各种 API Key 才能工作,但密钥泄露风险也最大。从环境变量到密钥管理服务,一文讲清 Agent 场景下的密钥安全方案。
AI Agent 需要大量 API Key 才能工作:LLM API、搜索引擎、数据库、云服务……每个 Key 都是一把可能的「数据泄露钥匙」。传统应用的密钥管理方案不完全适用于 Agent——因为 Agent 的代码和配置文件经常被分享、审查、开源。
# .env 文件(加入 .gitignore!) OPENAI_API_KEY=sk-xxx ANTHROPIC_API_KEY=sk-ant-xxx GITHUB_TOKEN=ghp_xxx
import os api_key = os.environ.get("OPENAI_API_KEY")
优点:简单、通用
缺点:进程环境变量可被其他进程读取;.env 文件容易被意外提交
{ "mcpServers": { "github": { "command": "npx", "args": ["-y", "@modelcontextprotocol/server-github"], "env": { "GITHUB_TOKEN": "ghp_xxx" } } } }
优点:密钥只暴露给需要的 MCP Server,不污染全局环境 缺点:配置文件中的明文密钥仍有泄露风险
# macOS Keychain security add-generic-password -a "openclaw" -s "openai-api-key" -w "sk-xxx" # 读取 security find-generic-password -a "openclaw" -s "openai-api-key" -w
Fast-Agent 支持系统 KeyRing 存储 OAuth Token:
fast-agent auth login # 自动存储到系统密钥链
# 安装 Vault CLI brew install vault # 写入密钥 vault kv put secret/agent/openai api_key="sk-xxx" # Agent 启动时读取 export OPENAI_API_KEY=$(vault kv get -field=api_key secret/agent/openai)
grep -r "sk-" . 检查代码中是否有硬编码密钥.env 文件必须在 .gitignore 中Agent 站点首选部署平台,零配置部署 Next.js,全球 CDN
立即体验 →