[余额飞跑]

[lixiang117423]

描述问题 一晚上就这样挂着，啥也没干，余额就消费了6刀。按理说6刀可以恢复很多次对话了。

如何复现 没有任何操作。

截图 昨天晚上还是已使用10.0左右，今早上就是16.72了。

一些必要的信息

• 系统：Linux Ubuntu 20.0 LTS
• 浏览器： Edge
• 版本： 5843303
• 部署方式：docker

[StereoApp]

有没有加密码啊，会不会被别人用了

[lixiang117423]

有没有加密码啊，会不会被别人用了

加了密码的，我前天才搭建的，就我自己知道。这两天的使用量不超过50个对话。。。

[reddaw]

一样的问题，周二部署下来，一共提问不超过10次，余额消耗了$8，昨天晚上到今天一次没用过还消耗了$1

[emvuys]

key 泄漏了吧

[cheng6563]

密码是不是可以爆破啊？ 反正我是CF直接加了个客户端证书用的，密码都没加。

[asaketsu]

压缩字段重复处理或上下文处理有bug

[Yidadaa]

去 openai 官网查看你的 api key 消费记录，如果你的 token 每小时都有消费，并且每次都消耗了上万 token，那你的 key 一定是泄露了，请立即删除重新生成。

不要在乱七八糟的网站上查余额。

[Yidadaa]

另外你使用 docker 部署，如果你服务器被挂了木马或者用了来路不明的宝塔之类的玩意儿，依然有泄露风险。

[Yidadaa]

另外关于密码爆破的可能性，目前密码是通过 md5 加密存储，如果你的密码设置很短，比如 5 位以内的字母，那么爆破成本是非常低的，建议你搜索一下 docker 的日志记录，确认是否有人大量尝试了密码组合，关键字：got access code

[Yidadaa]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

[leochen12-rgb]

建议作者加一下log，统计访问的time、IP和token

[lixiang117423]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

[potus2030]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。 首先是你的地址泄露了吧，否则别人怎么爆破？

[cheng6563]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

[wk-mike]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

[cheng6563]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

我是自建服务器的，Vercel 应该不行。Vercel 无法强制要求请求通过CF验证再进入后台，就算套CF别人改下自己的Hosts就直接绕过CF进你的应用了。

[nullcache]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

[Yidadaa]

目前不支持部署到 cf pages，cf 尚未支持 nextjs13 的新特性。

[Pessimisticc]

不要使用第三方查余额网站，github上star多的稍微好点

[Yidadaa]

已经补充到文档：https://github.com/Yidadaa/ChatGPT-Next-Web/blob/main/docs/faq-cn.md#%E4%B8%BA%E4%BB%80%E4%B9%88%E6%88%91%E7%9A%84-token-%E6%B6%88%E8%80%97%E5%BE%97%E8%BF%99%E4%B9%88%E5%BF%AB

[doherty88]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

[Cp0204]

不要使用第三方查余额网站，github上star多的稍微好点

是的，也不要在不信任的第三方页面填key使用，都有盗用风险

[Feng267]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

[t7aliang]

建议作者加一下log，统计访问的time、IP和token

赞成👍

[Maasea]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

可以通过自定义 vercel 项目的名称来防止拼接。

但是目前项目没有针对 vercel 的评论限制。这使得每次build，vercel 都会在最新的 commit 留下评论，评论内容是可访问的项目的URL。 例如 https://github.com/Yidadaa/ChatGPT-Next-Web/commit/913305190aaf29be4d7e776a40b8d2603be17022#commitcomment-108011876

可以通过添加配置文件的方式，关闭 vercel 的评论。参考地址

@Yidadaa

[dym-program]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

简单点就是 余额不足 绑定一直可以消费的卡

[Qxxxx]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢 顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

@nullcache 你成功部署在cf pages上了吗？

[Yidadaa]

@ly0813 你可以尝试破解一下

[IOLOII]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

从别人那里买的key吗？可能一个key卖给了很多人吧

[Li1177]

另外你使用 docker 部署，如果你服务器被挂了木马或者用了来路不明的宝塔之类的玩意儿，依然有泄露风险。

很不好意思问一个不厚道的问题，主要我是纯小白。有了chatgpt以后，应该很多小白都在接触代码了。 我想问的是：我用dock的方式安装你的项目到服务器上，会不会把我的APIKEY泄露给你啊，实在抱歉，我这么问你。 另外包括有些像angent gpt ， autogpt这种的也会有这种风险吗？ 请您解释一下好吗？ 谢谢啦！

[Yidadaa]

@Li1177 部署在你自己服务器上，我怎么拿到你的 key？而且代码都是公开的，有恶意代码的话早就被人拿出来鞭尸了。

[Li1177]

实在不是不好意思啊！太小白了，最近应该看到我这样的小白太多了吧？ 我今天才弄明白dock是个什么东西，这会儿正在安装呢。 你的这个程序太好用了！！！

Yifei Zhang @.***> 于2023年4月17日周一 19:29写道：

@Li1177 https://github.com/Li1177 部署在你自己服务器上，我怎么拿到你的 key？而且代码都是公开的，有恶意代码的话早就被人拿出来鞭尸了。

— Reply to this email directly, view it on GitHub https://github.com/Yidadaa/ChatGPT-Next-Web/issues/518#issuecomment-1511168535, or unsubscribe https://github.com/notifications/unsubscribe-auth/A2L76XNHDIGX3FEQE3WK743XBUSP7ANCNFSM6AAAAAAWUXT3HM . You are receiving this because you were mentioned.Message ID: @.***>

[Li1177]

@Li1177 部署在你自己服务器上，我怎么拿到你的 key？而且代码都是公开的，有恶意代码的话早就被人拿出来鞭尸了。 我一直很舒服的在用你的这个软件，多问一句，已经快一个礼拜，好像可以更新了，我是用你的推荐的模式部署在那个什么versel上的，我该怎么更新啊？

[ooizj]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

你这个不是余额用超了，就是余额页面的进度条应该是粉红色了（这种情况就是号废了，不知道能不能抢救回来）

[zhht1204]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。

因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

[zhht1204]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。

因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

解决方案就是1. 绑定张可用信用卡 2. 想办法搞个新的免费账号。没什么野路子。

[Li1177]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。 因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

解决方案就是1. 绑定张可用信用卡 2. 想办法搞个新的免费账号。没什么野路子。

新账号不是都不给api了吗？

[Li1177]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。 因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

解决方案就是1. 绑定张可用信用卡 2. 想办法搞个新的免费账号。没什么野路子。

多问一句，没啥大本事的，基本上没可能拿到gpt4的api吧？我排到现在也没看到啥动静

[zhht1204]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。 因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

解决方案就是1. 绑定张可用信用卡 2. 想办法搞个新的免费账号。没什么野路子。

新账号不是都不给api了吗？

啊这。那可能我对新账号的信息有些落后了不好意思。

[zhht1204]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

没有绑定信用卡的情况下openai的api调用不仅有token限制，还有时期限制的。我的就是时期限制到了， 返回的错误码也是一样的。好像是3个月还是4个月来着。 因为我本身调用的比较少，还想着不太可能超限呀。去platform一看原来到期了😂。

解决方案就是1. 绑定张可用信用卡 2. 想办法搞个新的免费账号。没什么野路子。

多问一句，没啥大本事的，基本上没可能拿到gpt4的api吧？我排到现在也没看到啥动静

这就比较难说了，毕竟他们也没公布准确的优先规则和排队进度之类的，只说了句对Evals有突出贡献的可以优先。我也排了一个多月了。

不过我同事倒是收到了，也许是因为他开了chat的plus订阅，再加上他一直很关注所以排得也很早？反正我是没准备开。慢慢等。😂

[bwlab2016]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

[tianfy1258]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

是啊，希望有一个这样的设置项，直接翻倍token顶不住

[bwlab2016]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

是啊，希望有一个这样的设置项，直接翻倍token顶不住

问题解决了，就是每次如果不选择面具，就要手动设置下会话标题，不能让它是默认标题，如果一直是默认标题，它就每次都请求，

[tianfy1258]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

是啊，希望有一个这样的设置项，直接翻倍token顶不住

问题解决了，就是每次如果不选择面具，就要手动设置下会话标题，不能让它是默认标题，如果一直是默认标题，它就每次都请求，

好，谢谢，试了下是这样的，第一次不要发大量信息，或者直接设置标题

[ImAmelie]

另外关于密码爆破的可能性，目前密码是通过 md5 加密存储，如果你的密码设置很短，比如 5 位以内的字母，那么爆破成本是非常低的，建议你搜索一下 docker 的日志记录，确认是否有人大量尝试了密码组合，关键字：got access code

问下，没用 docker ，部署在本地服务器上，如何查看应用的日志信息（或者说日志的保存位置在哪里）？

更新: 日志文件为应用目录下的 log.log

更新2: 并不是日志，好像没有日志，log.log 实际上是标准输出标准错误重定向

[cikichen]

求问一个问题，vercel能不能禁止自动分配的域名访问，只运行自定义域名访问，因为自动分配的很容易被爬虫抓取然后爆破

[TravelingLee]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

这个我折腾了两天，没看懂文档，自己也没搞懂啥意思，唉太菜了，放弃了

[daiaji]

要不干脆用otp代替密码吧？ google身份验证是纯本地的吧？

[toyo2333]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

可以通过自定义 vercel 项目的名称来防止拼接。

但是目前项目没有针对 vercel 的评论限制。这使得每次build，vercel 都会在最新的 commit 留下评论，评论内容是可访问的项目的URL。 例如 9133051#commitcomment-108011876

可以通过添加配置文件的方式，关闭 vercel 的评论。参考地址

@Yidadaa

用自己的域名，是不是就不存在上述问题了？

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

vercel will generate a domain by default, which can be easily spelled out according to the fork record. It is recommended to deploy to the railway, you can only use the custom domain, so you can add a zero trust in front of the cf to prevent people with ulterior motives.

You can prevent stitching by customizing the name of the vercel item.

But currently the project does not have a comment limit for vercel. This makes every build, vercel will leave a comment on the latest commit, and the content of the comment is the URL of the accessible project. For example 9133051#commitcomment-108011876

You can turn off vercel's comments by adding a configuration file. Reference address

@Yidadaa

If you use your own domain name, will the above problems not exist?