API Key 資安共識 — 社群整理的最低防線

社群討論 API Key 外洩風險後，整理出幾條實用共識：不開自動加值、儲值上限 30 USD（被爆了損失有限）、API Key 加密存本機（用公鑰解密，每次需要指紋或密碼確認）、.env 絕對不進 git、信用卡號不存在 AI 平台。

.env 的風險比想像中高——哪天沒設好 .gitignore 就出包了。有人說寧可麻煩，也要把 Key 存加密資料庫，讓 agent 每次都要主動解密取用。

另一個容易忽略的面向：含有 API Key 的整包專案直接丟給 Claude Code，Key 就進 server 了。有資安意識 + 預算上限，就算 Key 真的被逆向破解，損失也可控——除非信用卡也一起存進去。