Darf ich einen API-Key direkt in meinen Code schreiben?
Nein, niemals. Auch nicht in privaten Repositories. API-Keys gehören in eine .env-Datei lokal und in die Umgebungsvariablen beim Hosting. Der Code liest den Key, er enthält ihn nicht. Ein Key im öffentlichen Repo ist eine Kreditkarte ohne PIN.
Einer der häufigsten Fehler beim ersten Bauen mit KI-Coding-Tools. Du pastest deinen API-Key in den Chat, der Agent baut ihn direkt in den Code ein, du deployst. Auf den ersten Blick funktioniert alles. Im Hintergrund läuft die Zeit gegen dich.
Warum das gefährlich ist
Ein API-Key ist eine Kreditkarte ohne PIN. Wer ihn findet, kann ihn benutzen: KI-Calls abfeuern, Mails verschicken, Zahlungen auslösen. Die Rechnung geht an dich. Niemand klebt eine Kreditkarte auf die Straße und wundert sich, dass sie benutzt wird. Genau das passiert aber mit einem Key im Code auf einem öffentlichen Repository.
Der echte Fall
Januar 2024: Ein Entwickler committet versehentlich einen OpenAI-Key auf GitHub. Bots scannen GitHub kontinuierlich nach Keys. Vier Stunden später: 87.000 Dollar Schaden. Kein Hack, kein Datenklau. Nur ein Key, der an der falschen Stelle lag.
Auch in privaten Repos nicht sicher
Private Repositories können geteilt werden, gebackupt werden, Forks bekommen. Neue Mitarbeitende können Zugriff bekommen. Ein Moment, in dem das Repo versehentlich öffentlich war, reicht. Einmal in der Git-Historie, immer in der Git-Historie. Privat ist nicht sicher.
Wohin der Key wirklich gehört
Lokal in eine .env-Datei, die nicht in Git landet (dafür gibt es die .gitignore). Beim Hosting in die Environment-Variablen des Anbieters (Vercel, Netlify, Fly, Railway). Der Code liest den Wert zur Laufzeit aus der Umgebung, er enthält ihn nicht im Quelltext.
Das Stop-Signal
Wenn der Agent dir Code zeigt, in dem ein Key im Klartext steht, stopp. Der Agent hat ihn sich gemerkt, weil du ihn im Chat genannt hast. Bitte ihn, den Key stattdessen über Umgebungsvariablen zu laden.