纯前端直连大模型 API，真的安全吗？

一、API Key 泄露几乎是必然事件

从工程角度看，只要 API Key 出现在前端环境，就意味着它已经不再是秘密。无论是写在代码里、放在构建产物中，还是通过环境变量注入，最终都会被打包进浏览器可访问的资源。即使做了混淆、压缩，熟悉前端调试的人依然可以通过 Network 面板、Source Map、甚至直接拦截请求轻松拿到 key。

很多人会寄希望于“低频使用”“内部项目”或“没人会注意”，但现实往往相反。一旦 key 泄露，风险并不会体现在功能异常上，而是体现在账单和配额消耗上，而且通常是滞后发现。