OpenAI-compatible API 安全事件响应：从扫描到修复的最短路径

为什么现在补这个页面？

USDT checkout 后端和 ClawSkills 访问日志里出现了 .env、.git/config、旧框架探测、/api/auth/session 等路径。与其忽略这些噪音，本页把真实日志信号转成可索引的安全教程和付费模板入口。

最小检查清单

• 不要在浏览器 JS、静态 HTML、公开 ZIP、日志或错误页里出现上游 key。
• 如果确认泄露，先在上游/控制台轮换密钥，再清理缓存和历史日志。
• 为每个 API key 配预算上限、日/月额度、用途标签和最小权限。
• 修复后公开验证 sitemap、教程页、产品页和 checkout 仍是 200，敏感路径是 403/404。

示例片段

Incident mini-runbook:
1) Freeze affected key / set budget cap.
2) Rotate upstream key and app env.
3) Purge logs/cache that stored secrets.
4) Add Nginx/Worker deny + security headers.
5) Re-test public URLs and checkout flow.