AI议会亭会处理用户问题、上传证据和模型供应商 API Key。请把任何来自用户、文件、网页和模型的内容都视为不可信输入。
- 不要提交
.env、数据库、日志、缓存、coverage 或本地运行截图。 - 只提交
.env.example这类无真实密钥的模板文件。 - 用户 API Key 只能发送到后端保存,不能在浏览器中直连模型供应商。
- 后端保存 API Key 时必须加密,前端只展示末四位。
- 错误信息和日志不得包含完整 API Key、Authorization header 或供应商原始敏感响应。
生产环境必须设置:
ENVIRONMENT=production
USE_MOCK_MODEL=false
JWT_SECRET=replace-with-at-least-32-random-characters
POSTGRES_PASSWORD=replace-with-strong-password
POSTGRES_APP_PASSWORD=replace-with-strong-password
MINIO_ROOT_PASSWORD=replace-with-strong-password生产启动时,后端会拒绝默认 JWT_SECRET、SQLite 数据库和 mock 模型。
请不要把真实 API Key、数据库文件或用户数据贴到公开 issue。
复现问题时优先使用脱敏日志、最小复现步骤和测试用假数据。