V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alanhe421
V2EX  ›  OpenAI

为什么国内 AI 服务都限制了跨域,但比如 OpenAI 就不做该限制

  •  
  •   alanhe421 ·
    alanhe421 · 355 天前 · 2694 次点击
    这是一个创建于 355 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第三方 AI 服务本来前端就可以直接调用,由于跨域限制,要么自己搞个代理,要么就得走服务端调用了。

    目前测试

    1. 文心一言
    2. 阿里通义千问
    3. 腾讯混元

    都做了限制

    对比来说,比如 OpenAI API,前端直接调用是可以的,当然确保本身网络通畅。

    所以限制了就安全了吗?

    11 条回复    2023-12-12 17:49:28 +08:00
    drymonfidelia
        1
    drymonfidelia  
       355 天前   ❤️ 1
    因为国内大-厂 AI 服务的后端是搞 AI 写的不懂配置 CORS 规则
    leaflxh
        2
    leaflxh  
       355 天前
    不知道 openai 是怎么做的

    如果用户登录了 openai ,然后访问了我的网站,
    我能否直接 fetch( https://openai/api, {credentials: 'include'}) ,在后台盗刷用户的额度?
    Yadomin
        3
    Yadomin  
       355 天前 via Android
    为什么会想着把一个付费的 api 暴露到前端,不怕被人刷爆吗
    leaflxh
        4
    leaflxh  
       355 天前
    看了下,基于"Authorization: Bearer $OPENAI_API_KEY"

    不给跨域确实不方便
    leeg810312
        5
    leeg810312  
       355 天前
    直接在 HTTP header 里检查 key 的 api 都是给后端调用的,怎么可以直接给前端用
    totoro52
        6
    totoro52  
       355 天前
    前端直接套 API ? 意思就是我密钥也放前端? 你帮我还账单?🤡
    yumusb
        7
    yumusb  
       355 天前
    不安全。
    MEIerer
        8
    MEIerer  
       355 天前
    @leaflxh #2 同问,不过给纯前端调用确实方便很多。
    leaflxh
        9
    leaflxh  
       355 天前
    @totoro52

    可以做套壳网站,让用户使用自己的 key ,后端不做存储。
    leaflxh
        10
    leaflxh  
       355 天前
    或许是为了防止别人做慈善,见过不少网站把 OSS 的 ak sk 放在客户端 js 直接调的
    cdlnls
        11
    cdlnls  
       341 天前
    我也是非常不理解。

    最近做了个 chrome 插件,插件需要自定义文心一言、通义千问、OpenAI 的密钥来使用。然后做好了测试的时候,发现插件只要指定了特定网站启用,访问接口的时候就会报跨域,只有 openai 能用。麻了。

    十分不理解,一个对外开放调用的接口,为啥要做这个限制。

    问了工单,说是为了安全,如果密钥要泄漏,怎么都能被刷。用限制前端调用的方式来来降低密钥泄漏的概率,我觉得意义真的不大。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5961 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:30 · PVG 11:30 · LAX 19:30 · JFK 22:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.