Утечка ключа API OpenAI, хотя он надежно хранится на сервере. Нужна помощь в диагностике [закрыто] ⇐ Python

[Anonymous]

Я столкнулся с серьезной проблемой, и мне нужна помощь в выявлении причины.
Мое приложение настроено:

• Бэкэнд: Python FastAPI
• Фронтенд: Next.js
• Аутентификация: JWT (Токен на предъявителя)
• Хостинг: Nginx на сервере Linux
• Ключ OpenAI API: Хранится в файле .env на сервере

Ключи API не отправляются во внешний интерфейс, и они никогда не доступны пользователям. Файл .env принадлежит www-data и имеет разрешение rw-r--------, поэтому его может прочитать только пользователь приложения.
Однако ключ OpenAI API утекает в течение дня после его перезарядки, хотя он используется только на серверной стороне. У меня нет журналов или путей кода, которые раскрывают ключ, и никто больше не имеет доступа к серверу.
Я пытаюсь понять:

• Что может привести к утечке ключа API, предназначенного только для серверной части?
• Может ли это быть связано с неправильной конфигурацией сервера, уязвимостью зависимостей или каким-либо вторжением?
• Какие шаги мне следует предпринять для диагностики и защиты моего сервера и приложения?

Будем очень признательны за любые рекомендации или подобный опыт. Этот вопрос становится критическим.

Подробнее здесь: https://stackoverflow.com/questions/798 ... er-need-he