[余额飞跑]

[lixiang117423]

描述问题
一晚上就这样挂着，啥也没干，余额就消费了6刀。按理说6刀可以恢复很多次对话了。

如何复现
没有任何操作。

截图
昨天晚上还是已使用10.0左右，今早上就是16.72了。

一些必要的信息

• 系统：Linux Ubuntu 20.0 LTS
• 浏览器： Edge
• 版本： 5843303
• 部署方式：docker

[StereoApp]

有没有加密码啊，会不会被别人用了

[lixiang117423]

有没有加密码啊，会不会被别人用了

加了密码的，我前天才搭建的，就我自己知道。这两天的使用量不超过50个对话。。。

[reddaw]

一样的问题，周二部署下来，一共提问不超过10次，余额消耗了$8，昨天晚上到今天一次没用过还消耗了$1

[emvuys]

key 泄漏了吧

[cheng6563]

密码是不是可以爆破啊？
反正我是CF直接加了个客户端证书用的，密码都没加。

[asaketsu]

压缩字段重复处理或上下文处理有bug

[Yidadaa]

去 openai 官网查看你的 api key 消费记录，如果你的 token 每小时都有消费，并且每次都消耗了上万 token，那你的 key 一定是泄露了，请立即删除重新生成。

不要在乱七八糟的网站上查余额。

[Yidadaa]

另外你使用 docker 部署，如果你服务器被挂了木马或者用了来路不明的宝塔之类的玩意儿，依然有泄露风险。

[Yidadaa]

另外关于密码爆破的可能性，目前密码是通过 md5 加密存储，如果你的密码设置很短，比如 5 位以内的字母，那么爆破成本是非常低的，建议你搜索一下 docker 的日志记录，确认是否有人大量尝试了密码组合，关键字：got access code

[Yidadaa]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

[leochen12-rgb]

建议作者加一下log，统计访问的time、IP和token

[lixiang117423]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

[potus2030]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。
首先是你的地址泄露了吧，否则别人怎么爆破？

[cheng6563]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

[wk-mike]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

[cheng6563]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

我是自建服务器的，Vercel 应该不行。Vercel 无法强制要求请求通过CF验证再进入后台，就算套CF别人改下自己的Hosts就直接绕过CF进你的应用了。

[nullcache]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢

顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

[Yidadaa]

目前不支持部署到 cf pages，cf 尚未支持 nextjs13 的新特性。

[Pessimisticc]

不要使用第三方查余额网站，github上star多的稍微好点

[Yidadaa]

已经补充到文档：https://github.com/Yidadaa/ChatGPT-Next-Web/blob/main/docs/faq-cn.md#%E4%B8%BA%E4%BB%80%E4%B9%88%E6%88%91%E7%9A%84-token-%E6%B6%88%E8%80%97%E5%BE%97%E8%BF%99%E4%B9%88%E5%BF%AB

[doherty88]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。
推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

[Cp0204]

不要使用第三方查余额网站，github上star多的稍微好点

是的，也不要在不信任的第三方页面填key使用，都有盗用风险

[Feng267]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

[t7aliang]

建议作者加一下log，统计访问的time、IP和token

赞成👍

[Maasea]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

可以通过自定义 vercel 项目的名称来防止拼接。

但是目前项目没有针对 vercel 的评论限制。这使得每次build，vercel 都会在最新的 commit 留下评论，评论内容是可访问的项目的URL。 例如 9133051#commitcomment-108011876

可以通过添加配置文件的方式，关闭 vercel 的评论。参考地址

@Yidadaa

[dym-program]

你们的API key可以正常使用嘛，我第一次创建时候就说【You exceeded your current quota, please check your plan and billing details.】

简单点就是 余额不足 绑定一直可以消费的卡

[Qxxxx]

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

求一个Vercel的教程，CF加个客户端证书验证 @cheng6563 感谢感谢
顺便问一下Vercel部署的需要加这个防护吗？

了解一下cloudflare pages，你可以直接部署到上面，和vercel几乎一样的

@nullcache 你成功部署在cf pages上了吗？

[bwlab2016]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

是啊，希望有一个这样的设置项，直接翻倍token顶不住

问题解决了，就是每次如果不选择面具，就要手动设置下会话标题，不能让它是默认标题，如果一直是默认标题，它就每次都请求，

[tianfy1258]

每次问问题，都要发送当前聊天框所有内容追加《使用四到五个字直接返回这句话的简要主题，不要解释、不要标点、不要语气词、不要多余文本，如果没有主题，请直接返回“闲聊“》 这句话 然后发送，消耗直接翻倍，谁知道怎么控制不让他获取标题的

是啊，希望有一个这样的设置项，直接翻倍token顶不住

问题解决了，就是每次如果不选择面具，就要手动设置下会话标题，不能让它是默认标题，如果一直是默认标题，它就每次都请求，

好，谢谢，试了下是这样的，第一次不要发大量信息，或者直接设置标题

[ImAmelie]

另外关于密码爆破的可能性，目前密码是通过 md5 加密存储，如果你的密码设置很短，比如 5 位以内的字母，那么爆破成本是非常低的，建议你搜索一下 docker 的日志记录，确认是否有人大量尝试了密码组合，关键字：got access code

问下，没用 docker ，部署在本地服务器上，如何查看应用的日志信息（或者说日志的保存位置在哪里）？

更新: 日志文件为应用目录下的 log.log

更新2: 并不是日志，好像没有日志，log.log 实际上是标准输出标准错误重定向

[cikichen]

求问一个问题，vercel能不能禁止自动分配的域名访问，只运行自定义域名访问，因为自动分配的很容易被爬虫抓取然后爆破

[TravelingLee]

通过上述两个方法就可以定位到你的 token 被快速消耗的原因：

• 如果 openai 消费记录异常，但是 docker 日志没有问题，那么说明是 api key 泄露；
• 如果 docker 日志发现大量 got access code 爆破记录，那么就是密码被爆破了。

果然有一大堆got access code。这个key是废了。哭死。。。

建议直接和我一样CF加个客户端证书验证

这个我折腾了两天，没看懂文档，自己也没搞懂啥意思，唉太菜了，放弃了

[daiaji]

要不干脆用otp代替密码吧？
google身份验证是纯本地的吧？

[toyo2333]

vercel会默认生成一个domain，根据fork记录可以很容易的拼出来。 推荐deploy到railway，可以只用custom domain，这样的话你cf前面加个zero trust就可以防止别有用心的人了。

可以通过自定义 vercel 项目的名称来防止拼接。

但是目前项目没有针对 vercel 的评论限制。这使得每次build，vercel 都会在最新的 commit 留下评论，评论内容是可访问的项目的URL。 例如 9133051#commitcomment-108011876

可以通过添加配置文件的方式，关闭 vercel 的评论。参考地址

@Yidadaa

用自己的域名，是不是就不存在上述问题了？

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

vercel will generate a domain by default, which can be easily spelled out according to the fork record. It is recommended to deploy to the railway, you can only use the custom domain, so you can add a zero trust in front of the cf to prevent people with ulterior motives.

You can prevent stitching by customizing the name of the vercel item.

But currently the project does not have a comment limit for vercel. This makes every build, vercel will leave a comment on the latest commit, and the content of the comment is the URL of the accessible project. For example 9133051#commitcomment-108011876

You can turn off vercel's comments by adding a configuration file. Reference address

@Yidadaa

If you use your own domain name, will the above problems not exist?

[andyliuzs]

我发现token浪费的主要原因就是 prompt 占用过高，简单的一句话不到20个字，发出去后就占用了几千个prompt。请问作者，后台是不是悄悄把每个问题都前置加上了提示词。

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

I found that the main reason for the waste of tokens is that the prompts take up too much. A simple sentence is less than 20 characters, and it takes up thousands of prompts after it is sent. May I ask the author, did the backstage quietly prepend each question with prompt words.

[WHUEugene]

求问一个问题，vercel能不能禁止自动分配的域名访问，只运行自定义域名访问，因为自动分配的很容易被爬虫抓取然后爆破

可以的，在domain里面设置好自己的域名然后删掉vercel自动分配的域名就好了

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

I have a question, can vercel prohibit access to automatically assigned domain names and only run custom domain names, because automatically assigned ones can easily be crawled and exploded?

Yes, just set your own domain name in domain and delete the domain name automatically assigned by vercel.

[toyo2333]

我发现token浪费的主要原因就是 prompt 占用过高，简单的一句话不到20个字，发出去后就占用了几千个prompt。请问作者，后台是不是悄悄把每个问题都前置加上了提示词。

有几千个这么多么？

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

I found that the main reason for token waste is that the prompt occupancy is too high. A simple sentence of less than 20 words takes up thousands of prompts after it is sent out. I would like to ask the author whether the background secretly adds prompt words in front of each question.

How many thousands?

[andyliuzs]

I also discovered the problem of too many prompt words, which caused me to spend $6 for a few questions a day. Don't dare to use it anymore. . .

[toyo2333]

ch caused me to spend $6 for a few questions

太可怕了

[yvan918]

奇怪,部署好了,访问正常, 但是在访问页面更改密码, 无效??

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

Strange, after deployment, access is normal, but changing the password on the access page does not work??

[loganoxo]

还好看到这里,我连忙把我项目名和vercel的默认domain改掉了,还把密码设为了30位,哈哈

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

Fortunately, after seeing this, I quickly changed my project name and the default domain of vercel, and also set the password to 30 characters, haha

[caoyaru123]

请问怎么关掉部署啊，聊了几句话，几天后，余额花完啦

[Issues-translate-bot]

Bot detected the issue body's language is not English, translate it automatically.

---

Please tell me how to turn off the deployment. After a few words of conversation, the balance was exhausted after a few days.