文章总结： 文档披露攻防渗透中JavaScript泄露大模型API密钥的实际案例，展示攻击者通过泄露的密钥调用阿里云DashScope接口的示例请求，并探讨该漏洞可能被滥用的潜在风险与攻击场景，呼吁安全社区共同研究防护方案。 综合评分： 65 文章分类： 渗透测试,漏洞分析,安全运营,安全意识,WEB安全

攻防渗透 | 大模型key还有啥玩法呢

原创

安全艺术 安全艺术

安全艺术

2026年5月21日 10:18 北京

在小说阅读器读本章

去阅读

近期攻防碰到的js泄露大模型key的案例。

AI了个接口，形如：

POST /api/v1/apps/86c9fce96xxxxxxxf5d3/completion HTTP/2
Host: dashscope.aliyuncs.com
Authorization: Bearer sk-xxxx
Content-Type: application/json
Accept: application/json
Content-Length: 102

{
  "input": {
    "prompt": "当前模型作用是啥"
  },
  "parameters": {},
  "debug": {}
}

还有啥玩法呢，师傅们带带。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全艺术 安全艺术 安全艺术《攻防渗透 | 大模型key还有啥玩法呢》