الانتقال إلى المحتوى الرئيسي
مطالبة تحمل مفتاح AKIA...، أو .env ملصق، أو وكيل يردّد رمز sk-... الخاص به — أيٌّ منها يمكنه شحن اعتماد حي إلى OpenAI أو Anthropic أو Google بوضوح، حيث يهبط في سجلاتهم وسجلاتك. Secrets Blocker يوقف ذلك عند البوابة: إعداد مسبق لحاجز حماية بنقرة واحدة يمسح الطلب بحثاً عن أشكال الاعتمادات ويرفض الاستدعاء بـ HTTP 400 قبل أن يغادر بايت واحد بوابتك. هذه صفحة مركّزة لحالة استخدام تسريب الأسرار. لمحرك حواجز الحماية الكامل — كل نوع قاعدة، وحقل، ومسار — انظر مرجع حواجز الحماية.

1. امنع تدفقات تسريب مفاتيح API في LLM بإعداد مسبق واحد

المغزى كله من سباكة منع تسريب مفاتيح API هو اصطياد الاعتماد قبل الاستدعاء الأعلى، لا بعد أن يكون بالفعل في سجل طلب مزود. الإعداد المسبق Secrets Blocker يفعل ذلك بالضبط. إنه حاجز حماية صغير من قواعد block في مرحلة المدخلات، كل منها regex لشكل اعتماد معروف:
AKIA متبوعاً بـ 16 حرفاً أبجدياً رقمياً كبيراً — الشكل الكنسي لمعرّف مفتاح وصول AWS.
بادئة sk- متبوعة بجسم رمز طويل — الشكل الذي تستخدمه OpenAI وعدة مفاتيح مزودين مشابهة.
بادئة ghp_ متبوعة بجسم من 36 حرفاً.
عندما تطابق أي قاعدة، يُحجب الطلب — لا تعيد البوابة توجيهه أبداً. تعيش السياسة في البوابة، لا في تطبيقك، فيبقى تطبيقك يستدعي /v1/chat/completions تماماً كما كان، بدون تغيير في SDK وبدون إعادة نشر.
مرحلة المدخلات، قبل القياس. يفحص Secrets Blocker ما ترسله. مطابقة ترفض الاستدعاء قبل استدعاء النموذج، فلا يصل الاعتماد إلى المزود أبداً ولا يكلّف الطلب المحجوب أي حصة. لاصطياد سرّ يصدره نموذج إلى العميل أيضاً، اقرنه بإعداد مسبق لحجب المخرجات — انظر §5.

2. طبّق الإعداد المسبق في وحدة التحكم

كل خطوة هنا إجراء وحدة تحكم على البوابة المستضافة تحت جلستك الخاصة. إنشاء وتحرير حواجز الحماية يتطلب Developer+ في مساحة العمل. ولا يستخدم سوى الاستدعاء النهائي /v1/* مفتاح الترحيل sk-orca-....
1

افتح القالب

في وحدة التحكم، افتح Guardrails، انقر زر New guardrail المنقسم، واختر Secrets & API-Key Blocker من فئة قوالب Secrets. يبذر قواعد الحجب في مرحلة المدخلات.
2

سمِّ واحفظ

امنحه اسماً (≤ 64 حرفاً)، مثل secrets-blocker، واحفظ. الإعداد المسبق بذرة، لا قفل — أضف أو حرّر القواعد بحرية بعد ذلك (انظر §4).
3

اختبره

افتح علامة التبويب Test، الصق اعتماد عينة في مرحلة input، وشغّل السياسة محلياً — بدون استدعاء للأعلى، بدون حصة (انظر §3).
4

اربط مفتاحاً

حرّر مفتاح API واختر secrets-blocker من قائمة Guardrail المنسدلة (يضبط guardrail_id على المفتاح)، أو علّمه افتراضي مساحة العمل. انظر اربط بمفتاح وافتراضي الحساب.

3. اختبر قبل أن تربط

أثبت أن القاعدة تُطلق قبل أن يشير إليها أي مفتاح. افتح علامة التبويب Test داخل المحرر، الصق اعتماداً وهمياً، اختر مرحلة input، وشغّل: 
Here is my key: AKIAIOSFODNN7EXAMPLE
يقيّم الـ sandbox السياسة الحالية محلياً — لا يُرسَل شيء للأعلى، ولا يُقاس شيء — ويعيد حكم block مسمّياً القاعدة التي أُطلقت. لشبكة A/B مقابل مجموعة من عينات الأسرار المسرّبة والحميدة، تعيش أداة التقييم على بُعد علامة تبويب واحدة.

4. وسّع التغطية

يغطي Secrets Blocker الأشكال الثلاثة الأكثر حركة. تشحن فئة Secrets إعدادات مسبقة شقيقة يمكنك تطبيقها إلى جانبه، ويمكنك تأليف قاعدة regex خاصة بك لأي رمز يصدره مكدّسك:

Private Keys & Cloud Tokens

إعداد مسبق رفيق في Secrets يحجب مفاتيح PEM الخاصة، ورموز Slack وStripe، ومفاتيح Google API، وJWT في الطلب.

Crypto Wallet Block

يحجب عناوين محافظ بشكل BTC وETH في الطلب عندما لا ينبغي أن تصل إلى المزود أبداً.
لمطابقة صيغة رمز داخلي، أضف قاعدة regex — أنماط RE2، زمن خطي، بدون مراجع خلفية — في مرحلة input بإجراء block. الأنماط السيئة تُرفض عند الحفظ، فحاجز الحماية الذي يمكنك حفظه يُجمَّع دائماً.
بدلاً من الحجب، تريد تنقيح سرّ مسرّب وتمرير الطلب مُنقّى؟ استخدم قاعدة pii بإجراء mask — مجموعة الكواشف المدمجة تشمل aws_access_key، api_key_openai، وjwt، يصيّر كل منها وسماً مُصنّفاً مثل [AWS_ACCESS_KEY]. انظر الإجراءات لـ block مقابل mask.

5. اصطد الأسرار في الاستجابة أيضاً

يفحص Secrets Blocker الطلب. إعداد مسبق منفصل في Secrets، Code Secret in Output، يفحص استجابة النموذج بحثاً عن مفاتيح خاصة ورموز بشكل AWS/OpenAI ويحجب الاستدعاء إذا تسرّب أحدها رجوعاً. يُفرض block على المخرجات بكلتا الطريقتين: على الاستجابة غير المبثوثة تُفحص الإجابة قبل إرجاعها، وعلى الاستجابة المبثوثة يقطع ماسح التدفق قبل أن يصل أي محتوى محجوب إلى العميل. حجب مرحلة المخرجات يردّ الحصة المستهلكة مسبقاً. انظر قواعد مرحلة المخرجات و تغطية البث.

6. كيف يبدو الحجب

الطلب المحجوب يعيد HTTP 400 مع رمز الخطأ guardrail_blocked ورسالة تسمّي حاجز الحماية والقاعدة التي أُطلقت: 
{
  "error": {
    "code": "guardrail_blocked",
    "message": "request blocked by guardrail \"secrets-blocker\": regex(...)"
  }
}
الطلب لا يكلّف أي حصة — حجب مرحلة المدخلات يُطلق قبل القياس — ويُعلَّم بـ skip-retry، لأن إعادة تشغيل نفس المطالبة مقابل قناة أخرى ستحجب مجدداً فحسب. انظر خطأ guardrail_blocked.

7. انظر ما أُطلق

كل قاعدة تُطلق تسجّل مطابقة — نوع القاعدة، الإجراء، المرحلة، وسلسلة تفصيل — تبرز في تغذية Matches لمساحة العمل. السلسلة الفرعية المطابقة نفسها (الاعتماد) تُسجَّل فقط عند تفعيل Log raw content، وهو مُطفأ افتراضياً.
لضابط أسرار، إبقاء Log raw content مُطفأً عادةً هو المغزى: التقاط السلسلة الفرعية المطابقة سيعيد كتابة الاعتماد المسرّب مباشرة في قياسك عن بُعد. أبقه مُطفأً ما لم تكن لديك حاجة فرز ضيقة، ودوّر أي اعتماد اصطيد — الطلب المحجوب يعني أن السرّ كُشف في مطالبة، لا أنه آمن. انظر تغذية المطابقات و التسجيل والخصوصية.

8. إلى أين تذهب بعد ذلك

كواشف regex

ألّف أنماط اعتمادك الخاصة بقواعد regex بصيغة RE2.

الإجراءات

اختر block أو mask أو flag أو annotate أو spotlight لكل قاعدة — وblock أو mask أو flag أو annotate لكل كيان.

PII Shield

أخفِ عناوين البريد الإلكتروني وأرقام SSN والبطاقات إلى وسوم مُصنّفة قبل أن يراها النموذج.

ضبط الإيجابيات الكاذبة

وسم الإيجابيات الكاذبة وشدّد الكواشف من تغذية المطابقات.
يبقي Secrets Blocker الاعتمادات خارج المحتوى الذي ترسله. لمنع وكيل من تسريب سرّ عبر استدعاء أداة — تهريبه إلى مضيف يتحكم فيه مهاجم — استخدم جدار الحماية واقرأ تهديد تسريب البيانات و تهديد تسريب الأسرار. لمحرك حواجز الحماية الكامل، انظر مرجع حواجز الحماية.