
先还原下我们现在每天开始写代码的场景打开 Cursor切到 Claude 模型改完 push 到 GitHubCI/CD 自动部署。值得注意的是这个链条里的 AI 工具账号一旦被盗攻击者看到的不只是你的聊天记录还有你让他们 review 的代码、调试的配置、偶尔手滑贴进去的密钥。所以我挨个查看了解了下目前主流 AI 编程工具的安全设置。结论是海外平台基本都支持 TOTP国内平台几乎是空白。OpenAIChatGPT API有 TOTP流程标准OpenAI 从 2023 年开始给 ChatGPT 和 API 平台都加上了 TOTP 二次验证。怎么开浏览器打开platform.openai.com→ 左下角头像 → Settings → SecurityTwo-factor authentication → Enable选Authenticator app→ 弹出二维码用「二次验证码Free2FA」小程序或其他TOTP验证器扫码绑定填验证码 → Verify → 完成OpenAI 给的那组恢复码存好有个细节值得留意。开了 2FA 之后API 调用不受影响——它只在网页登录和控制台敏感操作时触发验证码。所以不用担心开了之后 Cursor 里调 API 每次都要掏手机。ClaudeAnthropic跟 OpenAI 几乎一样Claude 的控制台路径打开console.anthropic.com→ Settings → SecurityTwo-factor authentication → Enable选 Authenticator app → 扫码填验证码 → 完成 → 保存恢复码Anthropic 的控制台在部分地区有访问限制但 2FA 一旦绑上了后续 API 调用和网页登录的体验跟 OpenAI 基本一致。两者都是标准 TOTP同一验证器通用。Cursor没有独立 2FA但可以借力Cursor 本身不提供独立的二次验证设置。它通过 OAuth 接 GitHub 或 Google 账号登录所以安全链路是这样的GitHub/Google 的 2FA 状态 → Cursor 登录安全如果你用 GitHub 登录 CursorGitHub 开了 2FA 就相当于 Cursor 也受保护。好消息是 GitHub 从 2023 年起已经分批强制 2FA大多数开发者应该已经开了。不放心的去 GitHub → Settings → Password and authentication 确认一下。国内 AI 平台2FA 几乎空白这个对比挺扎心的。我查了一圈国内主流 AI 平台的账号安全设置平台公司2FA 方式备注DeepSeek深度求索❌ 仅手机验证码无 TOTP 选项Kimi月之暗面❌ 仅手机验证码无 TOTP 选项智谱清言ChatGLM智谱 AI❌ 仅手机验证码开放平台有 API Key 管理无 2FA通义千问Qwen阿里云⚠️ 企业版可借力企业版关联阿里云 RAM 可加 MFA个人版仅手机号MiniMax海螺 AIMiniMax❌ 仅手机验证码开放平台仅 API Key无 2FA豆包字节跳动❌ 仅手机验证码无 TOTP 选项文心一言百度❌ 仅手机验证码无 TOTP 选项阶跃星辰StepFun❌ 仅手机验证码无 TOTP 选项八家里面有七家是纯短信验证码唯一有借力空间的是通义千问企业版通过阿里云 RAM 的 MFA 体系间接获得一层保护。不是说短信不能用。对轻量级用户来说短信够用了。但对一个日常在 AI 工具里贴代码、改配置、讨论架构的开发者来说短信验证码提供的保护级别还是相对较低。如果你同时用好几款 AI 工具可以考虑在一个 TOTP 验证器中统一管理数据。OpenAI Claude GitHubCursor 依赖它——三个平台的验证码维护在同一个验证器内换手机一键全恢复。国内方案里微信小程序「二次验证码Free2FA」是一个选择码扫进去自动加密云备份端到端加密服务端不能解密。总结开了 2FA 之后AI 工具账号的安全性提升是立竿见影的。OpenAI 和 Claude 的配置各花三分钟GitHub关联 Cursor再花五分钟。加起来不到一刻钟的事能防住撞库、钓鱼、和绝大多数自动化攻击。