API-Schlüssel
API-Schlüssel sind Authentifizierungs-Tokens, mit denen Sie auf LLM-Anbieter-APIs zugreifen können. AISCouncil verwendet ein BYOK-Modell (Bring Your Own Key) – Sie erhalten Schlüssel direkt von jedem Anbieter und speichern sie in Ihrem Browser. Schlüssel durchlaufen niemals einen Zwischenserver.
Wo man API-Schlüssel bekommt
Jeder Anbieter hat seine eigene Entwicklerkonsole, wo Sie API-Schlüssel erstellen können:
| Anbieter | Konsolen-URL | Schlüsselformat | Kostenlos-Tier |
|---|---|---|---|
| Anthropic | console.anthropic.com/settings/keys | sk-ant-api03-... | Nein (Vorauszahlung erforderlich) |
| OpenAI | platform.openai.com/api-keys | sk-proj-... oder sk-... | Nein (Vorauszahlung erforderlich) |
| xAI | console.x.ai | xai-... | 25 $ kostenloses monatliches Guthaben |
| Google Gemini | aistudio.google.com/apikey | Alphanumerischer String | Ja (großzügiges kostenloses Kontingent, keine Kreditkarte) |
| OpenRouter | openrouter.ai/keys | sk-or-v1-... | Ja (20+ kostenlose Modelle, keine Kreditkarte) |
| DeepSeek | platform.deepseek.com/api_keys | sk-... | Nein (Vorauszahlung erforderlich) |
| Groq | console.groq.com/keys | gsk_... | Ja (kostenloses Tier mit Ratenbegrenzung) |
| Mistral | console.mistral.ai/api-keys | Alphanumerischer String | Nein |
| Ollama | N/A (lokal) | Nicht benötigt | Ja (läuft lokal, kein Schlüssel erforderlich) |
Google Gemini und OpenRouter bieten beide kostenlose Tiers ohne Kreditkarte an. Gemini gibt Ihnen Zugriff auf Gemini 2.5 Flash und Pro. OpenRouter gibt Ihnen Zugriff auf 20+ kostenlose Modelle inklusive DeepSeek R1, Llama 3.3, Qwen 3 und mehr. Dies sind die schnellsten Wege, mit dem Chatten zu beginnen.
Wie Schlüssel gespeichert werden
API-Schlüssel werden im localStorage Ihres Browsers unter anbieterspezifischen Schlüsseln gespeichert:
| localStorage-Schlüssel | Anbieter |
|---|---|
ais-apikey-anthropic | Anthropic (Claude) |
ais-apikey-openai | OpenAI (GPT) |
ais-apikey-xai | xAI (Grok) |
ais-apikey-gemini | Google Gemini |
ais-apikey-openrouter | OpenRouter |
ais-apikey-deepseek | DeepSeek |
ais-apikey-groq | Groq |
ais-apikey-mistral | Mistral |
Schlüssel sind einfache Strings im localStorage. Sie werden beim Boot synchron gelesen, damit die App sofort bestimmen kann, welche Anbieter verfügbar sind.
API-Schlüssel setzen
Über den Einstellungsdialog
- Öffnen Sie Einstellungen (Zahnrad-Symbol in der Seitenleiste)
- Gehen Sie zum API-Schlüssel-Bereich
- Das Schlüssel-Panel zeigt alle Anbieter aus der Modell-Registry, nach Anbieter organisiert
- Geben Sie Ihren Schlüssel im Feld für den relevanten Anbieter ein
- Schlüssel werden bei Eingabe sofort gespeichert
Über das Konfigurations-Panel
- Öffnen Sie das Konfigurations-Panel (rechte Seitenleiste)
- Das API-Schlüssel-Feld unten zeigt den Schlüssel für den aktuell ausgewählten Anbieter
- Geben Sie den Schlüssel direkt ein oder aktualisieren Sie ihn
- Der Schlüssel wird gespeichert, wenn Sie ihn ändern
Über die Browser-Konsole
// Schlüssel setzen
localStorage.setItem("ais-apikey-anthropic", "sk-ant-api03-your-key-here");
// Schlüssel lesen
localStorage.getItem("ais-apikey-openai");
// Schlüssel entfernen
localStorage.removeItem("ais-apikey-xai");
Sicherheitsmodell
- Schlüssel erscheinen nie in URLs – Bot-Sharing kodiert nur Konfiguration, niemals Schlüssel
- Schlüssel werden nie exportiert – Die "Alle Daten exportieren"-Funktion schließt explizit alle API-Schlüssel aus
- Schlüssel verlassen niemals Ihren Browser – außer wenn direkt an den API-Endpunkt des Anbieters gesendet
- Schlüssel werden nicht an aiscouncil.net gesendet – die App macht Null Requests an ihren eigenen Server mit Ihren Schlüsseln
- Schlüssel werden nie geloggt – nicht in der Konsole, nicht in Analytics, nicht in Fehlerberichten
Wenn Sie eine Nachricht senden, geht der API-Aufruf direkt von Ihrem Browser zum Anbieter:
Ihr Browser --(HTTPS + API-Schlüssel)--> api.anthropic.com
Ihr Browser --(HTTPS + API-Schlüssel)--> api.openai.com
Ihr Browser --(HTTPS + API-Schlüssel)--> api.x.ai
Ihr Browser --(HTTPS + API-Schlüssel)--> generativelanguage.googleapis.com
Kein Proxy, keine Middleware, kein Vermittler. Der Schlüssel reist über HTTPS direkt zum Anbieter und nirgendwo sonst hin.
Globale vs. Pro-Bot-API-Schlüssel
AISCouncil unterstützt zwei Ebenen von API-Schlüsseln:
Globale Schlüssel (pro Anbieter)
In Einstellungen > API-Schlüssel gesetzt. Dies sind die Standardschlüssel, die von allen Bots für einen bestimmten Anbieter verwendet werden. Gespeichert in localStorage als ais-apikey-{anbieter}.
Pro-Bot-Schlüssel
Im Konfigurations-Panel unter Pro-Bot-API-Schlüssel gesetzt. Dies überschreibt den globalen Schlüssel nur für einen bestimmten Bot. Anwendungsfälle:
- Verschiedene API-Schlüssel für verschiedene Projekte (separate Abrechnung)
- Testen eines neuen Schlüssels ohne Auswirkungen auf andere Bots
- Verwendung eines Schlüssels mit anderen Ratenbegrenzungen oder Berechtigungen
Pro-Bot-Schlüssel werden im Konfigurationsobjekt des Bots (das k-Feld) in IndexedDB gespeichert. Sie sind nicht enthalten, wenn eine Bot-URL geteilt wird – der Empfänger verwendet seine eigenen Schlüssel.
Priorität: Pro-Bot-Schlüssel > Globaler Anbieterschlüssel
Wenn ein Bot einen Pro-Bot-Schlüssel gesetzt hat, wird dieser verwendet. Andernfalls wird auf den globalen Schlüssel für diesen Anbieter zurückgegriffen.
Schlüssel-Validierung
Die App führt keine explizite Schlüssel-Validierung beim Speichern durch. Stattdessen sehen Sie einen Fehler, wenn Sie zum ersten Mal versuchen, eine Nachricht zu senden, wenn ein Schlüssel ungültig ist. Häufige Fehler:
| Fehler | Ursache |
|---|---|
401 Unauthorized | Ungültiger API-Schlüssel oder Schlüssel wurde widerrufen |
403 Forbidden | Schlüssel hat keine Berechtigung für das angeforderte Modell |
429 Too Many Requests | Ratenbegrenzung überschritten (später erneut versuchen) |
402 Payment Required | Unzureichendes Guthaben oder abgelaufene Abrechnung |
Schlüssel rotieren
Um einen Schlüssel zu rotieren (zu ändern):
- Generieren Sie einen neuen Schlüssel in der Konsole des Anbieters
- Aktualisieren Sie den Schlüssel in Einstellungen > API-Schlüssel
- Der alte Schlüssel wird sofort ersetzt – es gibt keine Übergangsphase
Der neue Schlüssel wird beim nächsten API-Aufruf wirksam. Kein Neustart oder Neuladen nötig.
Anbieterspezifische Hinweise
Anthropic
- Schlüssel beginnen mit
sk-ant-api03-(Drittgenerations-Format) - Erfordert Vorauszahlung vor jeder API-Nutzung
- Unterstützt den
anthropic-dangerous-direct-browser-access-Header für Browser-Direktaufrufe - Ratenbegrenzungen hängen von Ihrer Nutzungsstufe ab (1-4)
OpenAI
- Projektschlüssel beginnen mit
sk-proj-; Legacy-Schlüssel beginnen mitsk- - Erfordert Vorauszahlung oder einen aktiven Abrechnungsplan
- Einige Modelle (GPT-4, o1) erfordern höhere Nutzungsstufen
xAI (Grok)
- Schlüssel beginnen mit
xai- - Neue Konten erhalten 25 $/Monat an kostenlosen Credits
- Unterstützt Vision und Function Calling
Google Gemini
- Schlüssel sind alphanumerische Strings aus Google AI Studio
- Der API-Schlüssel wird als
?key=-Query-Parameter übergeben (kein Bearer-Header), um CORS-Preflight-Requests zu vermeiden - Das kostenlose Tier umfasst Gemini 2.5 Flash (10 RPM), Gemini 2.5 Pro (5 RPM) und Gemini 2.5 Flash-Lite (30 RPM)
- Keine Kreditkarte für das kostenlose Tier erforderlich
OpenRouter
- Schlüssel beginnen mit
sk-or-v1- - Bietet Zugriff auf 300+ Modelle von vielen Anbietern
- Kostenlose Modelle sind sofort verfügbar (keine Kreditkarte)
- Kostenpflichtige Modelle werden über OpenRouters eigenes Abrechnungssystem abgerechnet
DeepSeek
- Schlüssel beginnen mit
sk- - Die Preise sind deutlich niedriger als bei anderen Anbietern
- Unterstützt Reasoning (DeepSeek R1) und Coding (DeepSeek Coder)
Groq
- Schlüssel beginnen mit
gsk_ - Spezialisiert auf schnelle Inferenz
- Kostenloses Tier mit Ratenbegrenzungen verfügbar
- Unterstützt Llama, Mixtral und Gemma Modelle
Ollama
- Kein API-Schlüssel nötig – Ollama läuft lokal auf Ihrem Rechner
- Die App verwendet intern den Platzhalterwert
'ollama' - Erfordert, dass Ollama installiert ist und läuft (
ollama serve) - Setzen Sie
OLLAMA_ORIGINS=*für Browser-CORS-Zugriff - Modelle werden automatisch über
GET /api/tagserkannt
Fehlerbehebung
"No API key"-Fehler
- Prüfen Sie, ob Sie einen Schlüssel für den korrekten Anbieter in den Einstellungen eingegeben haben
- Verifizieren Sie, dass die Anbieter-Dropdown im Konfigurations-Panel mit dem Schlüssel übereinstimmt, den Sie gesetzt haben
- Versuchen Sie, den Schlüssel erneut einzufügen – einige Passwort-Manager können die Zwischenablage verändern
"401 Unauthorized" oder "Invalid API key"
- Regenerieren Sie den Schlüssel in der Konsole des Anbieters
- Stellen Sie sicher, dass der Schlüssel nicht widerrufen oder abgelaufen ist
- Stellen Sie bei Anthropic sicher, dass Sie Guthaben zu Ihrem Konto hinzugefügt haben
- Stellen Sie bei OpenAI sicher, dass Ihr Abrechnungsplan aktiv ist
"429 Too Many Requests"
- Sie haben die Ratenbegrenzung des Anbieters erreicht
- Warten Sie eine Minute und versuchen Sie es erneut
- Erwägen Sie ein Upgrade Ihrer Nutzungsstufe beim Anbieter
- Bei kostenlosen Modellen sind die Ratenbegrenzungen niedriger (z.B. Gemini kostenlos: 10 RPM)
"402 Payment Required"
- Ihr vorausbezahltes Guthaben ist aufgebraucht
- Fügen Sie mehr Guthaben im Abrechnungs-Dashboard des Anbieters hinzu
- Wechseln Sie zu einem kostenlosen Modell (Gemini, OpenRouter kostenlose Modelle)
Schlüssel verschwinden nach dem Löschen von Browser-Daten
localStoragewird gelöscht, wenn Sie Browser-Daten, Website-Daten oder Cookies löschen- Exportieren Sie Ihre Schlüssel vor dem Löschen (kopieren Sie sie manuell, da sie vom Datenexport ausgeschlossen sind)
- Erwägen Sie die Verwendung eines Passwort-Managers zum Speichern Ihrer API-Schlüssel
Teilen Sie Ihre API-Schlüssel niemals mit niemandem. Fügen Sie sie niemals in öffentliche Chat-Nachrichten, Foren oder Code-Repositories ein. Wenn ein Schlüssel kompromittiert ist, widerrufen Sie ihn sofort in der Konsole des Anbieters und generieren Sie einen neuen.