假设你的程序需要调用 AI 服务，就得用一把'钥匙'——API Key。这把钥匙值很多钱，绝对不能公开。那怎么安全地管理它？

核心概念：环境变量 = 存在操作系统里的键值对，程序启动时自动读取。敏感信息（API密钥、数据库密码）都通过环境变量管理，写在 .env 文件里，而不是写死在代码中。

环境变量配好了。但问题来了——如果你把代码推到 GitHub，.env 文件也跟着上去了，全世界都能看到你的密钥！怎么防？

核心概念：.gitignore 文件告诉 Git「忽略这些文件，不要提交」。把 .env 写进 .gitignore，密钥就不会被误推到网上。node_modules 等大文件夹也应该忽略。

以下哪个做法最危险？

• 把 API_KEY 写在 .env 文件中
• 把 .env 加入 .gitignore
• 把 API_KEY 直接写在代码里推到 GitHub
• 用环境变量读取数据库地址

记住：密钥泄露 = 钱包被偷。让 AI 帮你写项目时，别忘了提醒它配好 .env 和 .gitignore，这是安全的第一道防线。