请立即将GitHub仓库设置为私有！

在之前的提交中，我们不小心暴露了真实的DeepSeek API Key：

• 旧API Key: sk-1899062c03f640f090129c4692ccc26f（已撤销）
• 新API Key: sk-c0083c496e2145b88ea083d6f527af2b（当前使用）
• 暴露时间: 2026-02-01 11:30 - 11:40
• 暴露的文件: 多个配置文件

1. ✅ 已移除所有硬编码的API Key
2. ✅ 将API Key替换为占位符
3. ✅ 提交了安全修复
4. ✅ 推送了修复后的代码

1. 将GitHub仓库设置为私有

   • 访问仓库设置
   • 将仓库可见性改为私有
   • 确认更改

2. 撤销暴露的API Key

   • 登录DeepSeek平台
   • 撤销当前的API Key
   • 生成新的API Key

3. 更新本地配置

   # 1. 创建本地.env文件（不要提交到Git）
   echo "AI_API_KEY=你的新API Key" > .env.local
   
   # 2. 使用新的API Key运行应用
   AI_API_KEY=你的新API_KEY java -jar target/java-ai-starter-*.jar
   
   # 3. 或者使用Docker
   docker run -d --name java-ai-starter -p 8080:8080 \
     -e AI_API_KEY=你的新API_KEY \
     java-ai-starter:latest

1. 永远不要提交敏感信息到版本控制

   • 使用环境变量
   • 使用配置文件模板（如.env.example）
   • 将敏感文件添加到.gitignore

2. 使用.gitignore保护敏感文件

   # 敏感文件
   .env
   .env.local
   *.key
   *.pem
   *.crt
   
   # 日志和临时文件
   logs/
   target/
   *.log

3. 使用环境变量配置

   # 应用启动时传入环境变量
   AI_API_KEY=your_key AI_BASE_URL=https://api.deepseek.com java -jar app.jar
   
   # 或者在Docker中
   docker run -e AI_API_KEY=your_key ...

创建.env.example文件作为模板：

# .env.example
AI_API_KEY=your_deepseek_api_key_here
AI_BASE_URL=https://api.deepseek.com
AI_MODEL=deepseek-chat
AI_MAX_TOKENS=1000
AI_TIMEOUT=30000

SERVER_PORT=8080
SPRING_PROFILES_ACTIVE=dev

用户应该：

1. 复制.env.example为.env
2. 在.env中填写真实的API Key
3. 不要提交.env到Git

如果API Key被滥用：

1. 立即联系DeepSeek支持
2. 报告安全事件
3. 监控API使用情况

如果需要完全移除暴露的API Key：

# 使用git filter-branch或BFG Repo-Cleaner
# 注意：这会重写历史，需要强制推送

安全修复时间: 2026-02-01 11:40 修复人员: OpenClaw AI Assistant 状态: ✅ API Key已从代码中移除，等待仓库设为私有