安全与数据处理
Lumoswitch 位于下游客户端与模型厂商之间。使用前应明确哪些凭证由平台保存、哪些内容会发送给上游,以及客户端本地配置可能留下什么数据。
凭证类型
| 凭证 | 用途 | 处理方式 |
|---|---|---|
| 账号密码 | 登录控制台 | 以不可逆密码哈希保存 |
| Lumoswitch Access Key | 调用 Gateway | 完整值只显示一次,服务端保存哈希 |
| 上游厂商 API Key | Lumoswitch 调用模型厂商 | 加密保存,列表不返回明文 |
| Provisioning Token | 自动管理 Access Key | 高权限凭证,只应保存在受控后端 |
这些凭证不可互换。下游客户端不应持有上游厂商 Key,模型请求也不应使用账号登录密码。
请求数据
为了完成模型调用,Lumoswitch 必须将请求中需要的内容发送给最终选中的上游模型服务。发送敏感数据前,应同时评估 Lumoswitch 实例和上游厂商的数据政策。
建议:
- 不发送密码、验证码、私钥或无关个人数据。
- 对业务标识和用户输入进行最小化处理。
- 为测试与生产使用不同配置和 Access Key。
- 只选择符合业务数据地域和合规要求的上游。
客户端本地文件
Continue 等客户端配置可能直接包含明文 Access Key。控制台生成配置后:
- 检查目标文件是否会被 Git 跟踪。
- 优先使用环境变量或系统密钥管理工具。
- 不通过截图、聊天或公开工单分享配置。
- 设备丢失或配置泄漏后立即停用并轮换 Key。
上游地址安全
自定义 Base URL 会让 Gateway 访问用户指定的网络地址。部分实例会阻止私有 IP 或本机地址以降低 SSRF 风险。不要尝试绕过站点限制;本地模型接入应由实例管理员明确开放网络范围。
最小权限
- Access Key 只允许需要的对外模型。
- 根据客户端容量设置合理 RPM。
- 项目和配置按环境隔离。
- 上游凭证只授予所需模型权限。
- 不再使用的 Key 先停用,再删除。
泄漏处理
Lumoswitch Access Key 泄漏
停用旧 Key,创建替代 Key,更新客户端并删除旧 Key。
上游厂商 Key 泄漏
先在厂商侧撤销或轮换,再更新 Lumoswitch 上游凭证,并重新执行连接测试。
账号登录异常
修改密码、撤销全部会话,并检查配置 API、Access Key、项目和上游是否出现非预期修改。