为了提高交流效率，我们设立了官方 QQ 群和 QQ 频道，如果你在使用或者搭建过程中遇到了任何问题，请先第一时间加群或者频道咨询解决，除非是可以稳定复现的 Bug 或者较为有创意的功能建议，否则请不要随意往 Issue 区发送低质无意义帖子。

点击加入官方群聊

反馈须知

⚠️ 注意：不遵循此模板的任何帖子都会被立即关闭，如果没有提供下方的信息，我们无法定位你的问题。

请在下方中括号内输入 x 来表示你已经知晓相关内容。

• 我确认已经在 常见问题 中搜索了此次反馈的问题，没有找到解答；
• 我确认已经在 Issues 列表（包括已经 Close 的）中搜索了此次反馈的问题，没有找到解答。
• 我确认已经在 Vercel 使用教程 中搜索了此次反馈的问题，没有找到解答。

描述问题
昨天我部署的ChatGPT-Next-Web被刷，通过NGINX访问日志，确定确实是从ChatGPT-Next-Web页面操作的。对方是俄罗斯圣彼得堡的ip.聊天内容是俄文

我的ChatGPT-Next-Web是通过docker compose部署，部署在阿里云上。设置了code访问密码，而且半个月前刚换过，当初考虑到安全问题，我的ChatGPT的key写死在我的代理程序里，代理程序是我自己用go开发的。ChatGPT-Next-Web只能通过内部的容器IP访问，根本没有暴露出去。我的docker-compose.yml文件如下：

个人猜猜，Next可能有漏洞可以绕过页面密码。当然对方是如何找到我部署的项目地址的，则可能是通过搜索引擎通过next的特征链接或页面关键字搜出来的。
当然，以上也只是猜测，加上我的ChatGPT有限额，所以被刷的金额也不多，但是希望引起大家的小心。
目前比较好的措施，是在NGINX里加上auth_basic密码，另外，可以取消项目域名的公网dns解析，通过改本地hosts访问。

如何复现
请告诉我们你是通过什么操作触发的该问题。

截图
截图见上文

一些必要的信息

• 系统：[CentOS stream 9]
• 浏览器： [firefoox]
• 版本： [2.9.11]
• 部署方式：[docker ]