EP7 安全須知:入坑前要知道的事
AI RP 圈子有一些習以為常的「捷徑」,像是公益站、隨手裝的擴充,看起來很方便,但背後有真實的風險。這不是要嚇你,是讓你一開始就選對路,省得以後麻煩。
影片即將上線
本段影片將在 6/20 直播結束後上架。以下是文字重點摘要,可以配合影片一起看。
Take it away
第七幕兩個重點
- 不要用公益站:免費 API 中繼等於拿隱私和法律風險換免費,正路是自己申請
- 裝擴充前,先讓 AI 幫你看程式碼:擴充碰得到你的 API Key 和聊天紀錄,隨手裝等於開門請陌生人進廚房
公益站:看起來便宜,代價在看不見的地方
「公益站」是指 AI 圈裡有人架設好、免費讓大家用的 API 中繼服務,你填上它的地址,就能「免費」使用某個模型,不需要自己申請 API Key。
聽起來很方便。但問題在哪?
你的聊天內容流經陌生人的伺服器。
公益站的架設者能記錄什麼通過他的伺服器,包含你的聊天內容、你的 RP 角色設定,以及所有你傳過去的資料。就算架設者本身沒有惡意,伺服器本身也可能存在安全漏洞。
Key 的來源不明,有法律風險。
公益站提供的免費 API 資源從哪裡來?來源通常不透明,有可能是盜刷、超量使用正規 Key,甚至是某種形式的違規。你使用這些資源,有可能一起承擔法律責任,就算你不知情。
隨時倒站,一切歸零。
公益站是個人或小組自願維護的,沒有服務保障。今天用得好好的,明天醒來可能就關了,或者 Key 被封了,你的設定全部白搭。
正路:自己申請。
Google Cloud Vertex AI 有 90 天免費試用,額度對一般 AI RP 使用量很夠用。申請流程在新手上路→連上第一個 API,有手把手圖文教學。想試試其他選擇,也可以看看 OpenRouter(外部教學連結)。
擴充(Extensions):不要隨便裝
酒館的擴充功能(Extensions)就像手機的 App,它在你的酒館裡執行程式碼。
問題是:這個程式碼碰得到你的 API Key 和聊天紀錄。
你的 API Key 是你 Google Cloud 帳號或其他 API 服務的存取憑證,一旦外洩,別人可以用你的帳號發送請求,費用算你的。聊天紀錄裡可能有你不想外洩的私人對話。
隨手裝一個來源不明的擴充,等於請一個陌生人進你的廚房,讓他自由進出你的食材庫。
裝擴充前怎麼確認安全?
步驟一:確認來源
優先選擇:
- 酒館官方擴充列表(在酒館擴充功能介面裡可以直接搜尋安裝)
- 社群長期使用、廣泛推薦的擴充(有評價、有使用者回報的)
對於來路不明的擴充,謹慎考慮是否值得裝。
步驟二:讓 AI 幫你看程式碼
把擴充的 GitHub 連結或程式碼丟給 Gemini 或 GPT,請它回答這幾個問題:
- 這段程式碼有沒有外連到非預期的網址?
- 有沒有讀取 API Key 或聊天紀錄並傳出去的行為?
- 這段程式做了什麼事?
不需要你自己看懂程式碼,讓 AI 幫你掃一遍,可以過濾掉最明顯的風險。
步驟三:不確定就不裝
擴充帶來的便利是真實的,但如果你找不到這個擴充的任何評價或來源說明,直接不裝是最安全的選擇。
其他好習慣
不要把 API Key 截圖或貼在公開頻道。
API Key 就是你的廚房鑰匙,外洩就等於門鎖換人了。在社群問問題時,截圖前先確認 Key 沒有露出來。
定期確認費用。
開始用 API 之後,建議每週或每月看一次 Google Cloud 或其他平台的帳單,確認費用在預期範圍內。Vertex AI 的免費額度用完之前,通常會有提醒。
公開部署的酒館要設密碼。
如果你把酒館部署在雲端,一定要設登入密碼。沒有密碼的公開酒館,任何人都能進來、看到你的設定,甚至用你的 API Key。部署教學在新手上路→把酒館架上雲端,設密碼的步驟是裡面的必做事項。
常見問題
Q:公益站我用了很久都沒出事,還需要換嗎?
「沒出事」不等於「沒有風險」。風險是一直存在的,只是還沒發生。課程建議你轉移到自己的 API,不是要否定你過去的選擇,而是一旦架好自己的,你就再也不用依賴別人了,長期來說省事很多。
Q:官方擴充商店裡的擴充都安全嗎?
官方列表裡的擴充由社群維護、有一定的審查,但「在列表裡」不代表絕對安全。安裝前稍微看一下有沒有社群評價、有沒有最近更新記錄,是好習慣。
看完了?準備動手了嗎
了解了 AI RP 的全貌,下一步是架自己的酒館。前往新手上路→什麼是 AI 酒館?開始!