الانتقال إلى المحتوى الرئيسي
ظهر مفتاح في commit عام، أو سجل CI، أو لقطة شاشة، أو خرق مورّد. الساعة تدقّ: من يحمل سلسلة sk-orca-… تلك يستطيع إنفاق رصيدك وقيادة وكلائك حتى تقطعه. هذه الصفحة هي دليل تشغيل الحادثة — اقطع بيانات الاعتماد أولاً، ثم دقّق فيما فعلت — للعملاء الذين يديرون مفاتيحهم الخاصة في وحدة التحكم. آليات دورة الحياة (التعطيل مقابل الحذف، حالات المفاتيح، الأدوار) تعيش في إدارة المفاتيح؛ هذه الصفحة هي تسلسل تحت-الهجوم و، الأهم، ما يجب فحصه في مسار التدقيق بمجرد توقّف النزيف.
أوقف الإنفاق قبل أن تحقّق. مفتاح محدّد النطاق بسقف credit_limit_usd وقائمة allow_ips يحدّ الضرر، لكن مفتاحاً مسرّباً بلا سقوف يمكنه حرق الرصيد طالما بقي حياً. ألغِ أولاً؛ والتحليل الجنائي ثانياً.

1. ألغِ مفتاح api المسرّب (افعل هذا أولاً)

لديك حركتا قطع، كلتاهما في شاشة المفاتيح بوحدة التحكم (/console/token). تتطلب كلتاهما دور Developer أو أعلى — يعمل الإجراء على رمز جلستك / وصولك، وليس أبداً على مفتاح ترحيل.

التعطيل — إيقاف مؤقت قابل للعكس

اقلب حالة المفتاح إلى معطَّل. يُرفض كل طلب يصدره فوراً، لكن المفتاح وحدوده وروابط سياساته وتاريخ استخدامه كلها تبقى سليمة. استخدم هذا حين تحتاج الحفاظ على الإعدادات والسجلات بينما تتعمّق.

الحذف — إلغاء دائم

اختر حذف على المفتاح. لا يمكن لبيانات الاعتماد أبداً أن تخوّل طلباً مجدداً وغير قابلة للاسترداد. استخدم هذا بمجرد تأكّد التسرّب والتقاطك ما تحتاجه من المسار.
نمط شائع: عطّل فوراً لحظة اشتباهك في الانكشاف (احتواء بلا تأخير، لا شيء يُفقَد)، شغّل التدقيق في §3–§4، ثم احذف بمجرد تحديدك نطاق الانفجار. مهما فعلت، أصدر مفتاحاً جديداً للبديل — لا تعد أبداً تفعيل بيانات اعتماد شُوهدت في البرّية. التسليم بلا توقف في تدوير المفاتيح.
التعطيل أو الحذف يحدث أثره في الطلب التالي — لا إعادة نشر ولا تأخير انتشار.

2. وأنت في صدد ذلك، شدّد البديل

التسرّب هو لحظة إصلاح النطاق الذي سمح له بالإيذاء. ينبغي أن يحمل المفتاح البديل أضيق هوية يحتاجها العبء الفعلي، بحيث يكون التسرّب التالي لا حدثاً:
قائمة سماح IP تعني أن مفتاحاً مسرّباً عديم الفائدة من أي عنوان سوى عنوانك. تُرفض الطلبات من عناوين IP غير مُدرَجة في طبقة المصادقة قبل أن تكلّف أي شيء.
سقف إنفاق (0 = بلا حدود) يحدّ أسوأ حالة. مفتاح مسرّب بسقف أسبوعي صارم لا يمكنه استنزاف رصيد مساحة عملك.
حدود النماذج تمنع سارقاً من تحويل مفتاحك الرخيص إلى أغلى نموذج لديك.
صلاحية انتهاء (-1 = أبداً) تعني أن مفتاحاً يفلت من ملاحظتك يبقى يتوقف عن التخويل من تلقاء نفسه.
انظر قائمة تحقّق الاستقلالية الأدنى لموقف مفتاح-واحد-لكل-وكيل الكامل.

3. دقّق في سجلات الطلبات — ماذا استدعى المفتاح؟

مع قطع بيانات الاعتماد، حدّد نطاق الضرر. كل استدعاء ترحيل أجراه ذلك المفتاح مسجّل في سجلات طلبات مساحة عملك، ويحمل كل صف الحقول التي تحتاجها لإعادة بناء الحادثة:
الحقلماذا يخبرك
token_name / token_idأي مفتاح — أكّد أنك تنظر إلى المسرّب.
ipعنوان المصدر لكل استدعاء. دفقة من IP لا تتعرّف عليه هي الدليل الدامغ.
النموذج + الاستخدامأي النماذج أُصيبت وكم كلّفت — انكشاف إنفاقك.
صفِّ عرض السجل على المفتاح المسرّب ورتّب حسب الوقت. سؤالان يجيبان “كم هو سيّئ” بأسرع ما يمكن:
  1. هل توجد حركة مرور من IP ليس لك؟ ذلك إساءة استخدام مؤكدة، لا إنذار كاذب.
  2. هل ارتفع الإنفاق أو نمط الاستدعاء حول نافذة التسرّب؟ القفزة المفاجئة هي بصمة المهاجم.
إذا حمل المفتاح قائمة allow_ips، فإن الاستدعاءات من خارجها لم تُخوَّل أصلاً في المقام الأول — فغياب صفوف IP أجنبية هو بحدّ ذاته شهادة صحة نظيفة. هذا بالضبط لماذا تثبيت المصدر (§2) يحوّل تسرّباً إلى لا-حدث.

4. اقرأ مسار السياسة — ماذا حاول أن يفعل؟

تخبرك سجلات الطلبات بما استدعاه المفتاح؛ ومستويا السياسة يخبرانك بما حاول أن يجعل النموذج يقوله أو يفعله، وما إذا اصطادته حواجز حمايتك وجدار حمايتك. كلاهما ضمن نطاق مساحة العمل. مطابقات حواجز الحماية قابلة للقراءة من أي عضو في مساحة العمل؛ ويتطلب عرض Events / Runs لجدار الحماية دور Developer أو أعلى (سياسات جدار الحماية وإعداداته تبقى مفتوحة لكل عضو).

مطابقات حواجز الحماية

كل مرة أصابت فيها حركة مرور المفتاح قاعدة حاجز حماية، هبط سجل مطابقة في GET /api/guardrail/match — حاملاً نوع القاعدة، وaction (block / mask / flag)، وstage، والتفصيل المخالف. صفِّ على نافذة المفتاح المسرّب لترى أي محتوى دفعه (PII، أسرار، محاولات jailbreak).

أحداث جدار الحماية

كل استدعاء أداة أصدره المفتاح هو حدث جدار حماية — allow، audit، deny، sanitize، أو مُعلَّق. سلسلة من أحداث deny هي وكيل حاول شيئاً لم يكن مسموحاً به. اجمعها حسب التشغيل في عرض Events / Runs.
بضع تفاصيل تستحق المعرفة بينما تقرأ المسار:
  • مطابقات حواجز الحماية تسجّل السلسلة الفرعية المطابقة فقط إن كان “تسجيل المحتوى الخام” مفعّلاً لذلك الحاجز (إنه مطفأ افتراضياً) — فقد يُظهر صف مطابقة القاعدة والإجراء دون النص الخام. النوع / الإجراء / المرحلة حاضرون دوماً.
  • mark-fp على مطابقة (POST /api/guardrail/match/:id/mark-fp، Admin) يتيح لك تعليم إصابة كإيجابية كاذبة بحيث تتوقف عن تحريف عرض حادثتك — لا تستخدمه لدفن إساءة حقيقية.
  • رفضات جدار الحماية قبل الأداة. حدث deny يعني أن استدعاء أداة المهاجم حُجب قبل أن يصل إلى الأداة — احتوى جدار الحماية ذلك الإجراء بالفعل. الحدث دليلك أنه حاول.
قارن المسارات الثلاثة على نفس النافذة الزمنية: IP أجنبي في سجلات الطلبات، وارتفاع في مطابقات حواجز الحماية، وعنقود من أحداث deny لجدار الحماية معاً ترسم الصورة الكاملة — ما كان لدى المهاجم، وما حاوله، وما أُوقِف.

5. بعد الحادثة

أعد فحص قائمة المفاتيح: ينبغي أن يُقرأ المفتاح المسرّب معطَّل أو أن يكون قد اختفى كلياً. إن عطّلته فقط، فجدول الحذف بمجرد إنهائك التدقيق — انظر إدارة المفاتيح.
انقل حركة المرور إلى المفتاح الجديد الأضيق نطاقاً قبل تقاعد القديم بحيث لا توجد أبداً فجوة بلا مفتاح عامل. التسليم الكامل: تدوير المفاتيح.
إذا لم يكن للمفتاح المسرّب allow_ips، ولا credit_limit_usd، و model_limits واسعة، فذلك هو الاستنتاج الحقيقي. امنح كل وكيل مفتاحه الخاص محدّد النطاق بدقة — قائمة تحقّق الاستقلالية الأدنى والنطاق والمفاتيح يمشيان الموقف بأكمله.

6. ذات صلة

إدارة المفاتيح

التعطيل مقابل الحذف، حالات المفاتيح، وبوابات الدور وراء كل إجراء.

تدوير المفاتيح

التسليم بلا توقف من مفتاح مخترَق إلى نظيف.

قائمة سماح IP

ثبّت مفتاحاً على عناوين مصدرك بحيث لا يمكن استخدام تسرّب في مكان آخر.

تسريب البيانات

التهديد الذي يغذّيه مفتاح مسرّب أكثر ما يغذّيه، وكيف يحدّه سطح egress لجدار الحماية.
التسلسل بأكمله قصير عن قصد: ألغِ، ثم دقّق. كلما ضاق نطاق كل مفتاح من البداية، صغُر التدقيق الذي عليك تشغيله — وأسرعت بيانات اعتماد مسرّبة في الانتقال من طارئ إلى حاشية.