مرجع·يونيو 2026

OpenAI invalid_api_key: معناه وسببه وحله

أرخص علّة في الـ API، وأكثرها إحراجاً: مات الطلب عند الباب، قبل أن يتدخّل نموذج أو توكن أو سنت واحد.

بقلم فريق benchr · نُشر في 12 يونيو 2026 · متحقَّق منه مقابل توثيق الأخطاء من OpenAI، 12 يونيو 2026

OpenAIHTTP 401الخطورة: عاليةالمصادقة

الإجابة المختصرة: بيانات الاعتماد في ترويسة Authorization لديك لم تُصادَق. العلّة عادةً في بيئتك: لصق فقد أحرفاً، أو سطر جديد أو علامة اقتباس شاردة في ملف البيئة، أو مفتاح ملغى، أو مفتاح سُكَّ تحت المشروع الخاطئ. صدى واحد وcurl واحد، كلاهما أدناه، سيسمّيان الجاني في نحو تسعين ثانية.

أين تنكسر المفاتيح في الواقع

المفاتيح نادراً ما تفشل في الكود الذي يستخدمها. بل تفشل في الطريق إليه: نسخٌ التقط نصف النص، أو مُدخَل .env صارت علامات اقتباسه جزءاً من القيمة، أو سرّ CI حُفِظ بسطر جديد لاحق، أو نشرة شحنت مفتاح بيئة التجهيز إلى الإنتاج.

العائلة الأخرى إدارية. المفتاح أُلغي أو دُوِّر، أو يعود لمشروع غير الذي تستدعيه، أو أن IP خادمك ليس على القائمة المسموح بها التي تفرضها مؤسستك. كل واحدة من هذه تُرجع 401 نفسه — ولهذا تُشخّص بالطبقة لا بالتخمين.

الاستجابة

HTTP/1.1 401 Unauthorized

{
  "error": {
    "message": "Incorrect API key provided: sk-abc***. You can find your API key in your dashboard.",
    "type": "invalid_request_error",
    "code": "invalid_api_key"
  }
}

ذلك الجسم تمثيلي، لا نسخة حرفية. الجزء المُقنَّع يردّد ما أرسلته: إن لم يطابق المفتاح الذي قصدت تحميله، فالبيئة هي العلّة. ويجدر بك أن تعرف: 401 قد يعني أيضاً غياب عضوية المؤسسة أو IP خارج القائمة المسموح بها، و403 الذي يقول "Country, region, or territory not supported" هو جغرافيا، لا مصادقة.

تشخيص الـ90 ثانية

# 1. Is the env var what you think it is?
echo "len=${#OPENAI_API_KEY} head=${OPENAI_API_KEY:0:4} tail=${OPENAI_API_KEY: -4}"

# 2. Does the key itself pass auth?
curl -s https://api.openai.com/v1/models \
  -H "Authorization: Bearer $OPENAI_API_KEY"

اقرأ الصدى أولاً. طول صفر يعني أن المتغيّر لم يُحمَّل قط. ذيلٌ يُظهر علامة اقتباس أو حرفاً غريباً يعني أن ملف البيئة مشوّه. إن بدا الصدى صحيحاً وأرجع الـ curl قائمة نماذج، فالمفتاح يعمل وتطبيقك يحمّل شيئاً آخر، عادةً عملية قديمة. وإن أرجع الـ curl خطأ 401 على مفتاح سُكَّ قبل دقائق، فكُفّ عن التحديق في النص وافحص نطاق المشروع وعضوية المؤسسة والقائمة المسموح بها.

امنع تكراره

ثلاث عادات تقاعد هذه العلّة. أبقِ المفاتيح في مدير أسرار، لا في ملفات تسافر مع المستودع. أصدِر مفتاحاً واحداً لكل بيئة، كي لا يلمس تسريب التجهيز الإنتاجَ. وشغّل فحصاً ذاتياً عند الإقلاع، استدعاءً مصادَقاً رخيصاً واحداً، كي يُفشِل مفتاح ميت النشرةَ، لا أول طلب لعميل. ومع عودة المصادقة مملّة، يصير السؤال المثير هو الإنفاق: يكلّف GPT-5 مبلغ ‎$1.25‎ إدخالاً و‎$10‎ إخراجاً لكل مليون توكن، والترتيب يُظهر ما الذي تشتريه تلك الميزانية أيضاً.

أسئلة شائعة

أنشأت مفتاحاً جديداً ولا يزال يُرجع 401. لماذا؟

في الغالب لم تلتقط العملية الجارية القيمة الجديدة قط: صدفة قديمة، أو حاوية، أو سرّ نشر لا يزال يصدّر المفتاح القديم. أعد التشغيل بعد التدوير، وتأكد أن المفتاح يعود للمشروع الذي تستدعيه، وألصِق المفتاح ثانيةً إن كان النص قد فقد أحرفاً.

ما الفرق بين 401 و403؟

الخطأ 401 يعني فشل المصادقة: مفتاح سيّئ، أو غياب عضوية المؤسسة، أو IP خارج القائمة المسموح بها. أما 403 مع "Country, region, or territory not supported" فيعني أن OpenAI يرفض موقع الطلب؛ ولا يصلحه مفتاح صحيح.

هل يصح يوماً تثبيت مفتاح API في الكود مباشرةً؟

لا. المفاتيح المثبَّتة في الكود تُلتزَم وتُنسَخ وتُكشَط. أبقِ المفاتيح في متغيّرات بيئة كحد أدنى، وفي مدير أسرار في الإنتاج، وأصدِر مفاتيح منفصلة لكل بيئة كي يبقى أي تسريب محصوراً.

سجل التغييرات

12 يونيو 2026 — نُشر. تم تأكيد رمز الحالة وبادئة الرسالة وفصل 401-مقابل-403 مقابل دليل أكواد أخطاء OpenAI.

المصادر

OpenAI error codes guide: developers.openai.com/api/docs/guides/error-codes (تم التحقق في 12 يونيو 2026)
benchr api-errors.json: السجل المهيكل الذي بُنيت منه هذه الصفحة