Zum Hauptinhalt springen
Eine Anmeldeinformation, die Sie von einem Bildschirm ablesen können, ist eine Anmeldeinformation, die Sie leaken können. Sobald Sie einen neuen Schlüssel kopiert haben, brauchen Sie fast nie wieder seinen Klartext — Sie müssen ihn wiedererkennen: Welcher Schlüssel ist das, in welcher Umgebung, ist es der, den der ausfallende Agent verwendet. Die Konsole von OrcaRouter beantwortet das, ohne je ein funktionierendes Secret erneut zu drucken: Jeder Schlüssel wird in einer maskierten Form gerendert, die gerade genug Zeichen behält, um ihn zu identifizieren, und den Rest versteckt. Diese Seite behandelt, wie die maskierte Form aussieht, wann Klartext gezeigt wird und wann nicht, und wie Sie API-Key-Werte sicher in Ihren eigenen Logs und Werkzeugen maskieren.

1. Warum API-Key-Werte bei der Anzeige maskieren

Der vollständige Schlüssel ist eine Bearer-Anmeldeinformation: Jeder, der ihn liest, kann das Gateway als Sie aufrufen, bis zu den Limits dieses Schlüssels. Konsolen-Ansichten werden ständig in Screenshots, Screen-Shares, Support-Tickets und Bug-Reports kopiert — das Live-Secret in einer Liste von Schlüsseln zu zeigen, würde also jeden einzelnen davon in einen Anmeldeinformations-Leak verwandeln. Maskierung löst das, indem sie zwei Bedürfnisse trennt, die üblicherweise vermengt werden:
  • Identifikationwelcher Schlüssel ist das? Beantwortet durch einen stabilen, maskierten Fingerabdruck, den Sie auf einen Blick lesen können.
  • Nutzungwas ist das Secret? Beantwortet genau einmal bei der Erstellung und danach hinter einem bewussten, rollengesteuerten Einblenden.
Die Konsole befriedigt das erste Bedürfnis überall und steuert das zweite, sodass die Default-Oberfläche — die Schlüsselliste, auf die Sie den ganzen Tag starren — nie ein nutzbares Secret trägt.
Ein maskierter Schlüssel ist keine funktionierende Anmeldeinformation. Er kann keinen Request authentifizieren. Nur der vollständige Klartext (sk-orca-…), den Sie bei der Erstellung kopiert haben, oder über den gesteuerten Endpunkt erneut eingeblendet, kann das Gateway aufrufen.

2. Wie die maskierte Form aussieht

Die Konsole zeigt das Marken-Präfix des Schlüssels, dann einen festen Lauf von Sternchen, dann die letzten vier Zeichen — genug, um zwei Schlüssel auseinanderzuhalten, nicht genug, um einen davon zu rekonstruieren.
Sie erstelltenKonsole zeigt
sk-orca-9f3aK2…lang…7Qm4sk-orca-9f3****7Qm4
Das erste Segment behält das sk-orca--Präfix und ein paar führende Zeichen; die letzten vier Zeichen sind das Ende, das Sie wiedererkennen werden, wenn Sie eine Log-Zeile oder einen Fehler querverweisen. Alles dazwischen ist auf eine feste Maske kollabiert — der Sternchen-Lauf ist eine Konstante, sodass seine Breite nie die wahre Länge des Schlüssels verrät.
Kombinieren Sie das maskierte Ende mit dem environment-Label und dem Namen des Schlüssels, wenn Sie einen bestimmten Schlüssel schnell finden müssen — das vierstellige Ende plus ein prod / staging-Tag ist fast immer genug, um den richtigen aus einer Liste zu picken, ohne je Klartext zu enthüllen.

3. Wann Klartext gezeigt wird — und wann nicht

Es gibt genau einen Moment, in dem der vollständige Schlüssel Ihnen zum Kopieren gehört, und einen einzelnen gesteuerten Pfad, um ihn erneut abzurufen.
Wenn Sie einen Schlüssel prägen, zeigt die Konsole den vollständigen sk-orca-…-Klartext einmal an. Kopieren Sie ihn dann in Ihren Secret-Manager. Jede nachfolgende Ansicht dieses Schlüssels — die Liste, das Detail-Panel, Suchergebnisse — zeigt nur die maskierte Form.
Sie können den Klartext eines gewöhnlichen Schlüssels auf Anfrage erneut einblenden, aber es ist eine bewusste Aktion hinter der Developer+-Rolle — nicht etwas, das die Default-Liste je exponiert. Das erneute Einblenden eines gateway-scoped Schlüssels (is_firewall_gateway) erfordert die Admin- (oder Owner-)Rolle, weil dieses Token registrierte MCP-Server-Anmeldeinformationen lesen kann.
Das Auflisten von Schlüsseln, das Öffnen eines Schlüssel-Details, das Suchen und jedes Lesen des Token-Objekts geben die maskierte Form zurück. Der Klartext ist nie in einer Listen- oder Suchantwort enthalten.
Weil das erneute Einblenden gesteuert ist und ein gateway-scoped Schlüssel Admin braucht, um ihn wieder zu lesen, behandeln Sie die Kopie zur Erstellungszeit als Ihre eine zuverlässige Erfassung. Speichern Sie sie sofort in Ihrem Secret-Manager. Wenn Sie den Klartext eines gewöhnlichen Schlüssels verlieren, können Sie ihn erneut einblenden (Developer+); wenn Sie ihn nicht einblenden und nicht wiederherstellen können, rotieren Sie zu einem frischen Schlüssel, statt um einen Schlüssel herumzuarbeiten, den Sie nicht mehr lesen können.

4. Ein konkretes Beispiel: den geleakten Schlüssel identifizieren

Angenommen, ein Alert feuert — ein Schlüssel macht Aufrufe von einer unerwarteten IP — und die Log-Zeile trägt das maskierte Ende …7Qm4. Sie brauchen den Klartext nicht, um zu handeln:
  1. Öffnen Sie die Konsolen-Schlüssel-Liste (/console/token). Jede Zeile zeigt ihren maskierten Fingerabdruck — sk-orca-9f3****7Qm4 und ihr environment-Label.
  2. Matchen Sie das …7Qm4-Ende (und das prod-Tag) zur betreffenden Zeile. Die maskierte Form ist genau der Identifikator, den Sie hier brauchen — kein Secret wird in der Liste, dem Alert oder Ihrem Screenshot davon exponiert.
  3. Deaktivieren Sie diesen Schlüssel, um ihn zu pausieren, oder löschen Sie ihn, um ihn endgültig zu widerrufen — beides sind maskierungssichere Aktionen, die nie den Klartext drucken. Siehe Schlüssel verwalten und Reaktion auf geleakte Schlüssel.
Die ganze Triage läuft auf dem maskierten Fingerabdruck. Der Klartext bleibt in Ihrem Secret-Manager, wo er hingehört.

5. Maskierung in Ihren eigenen Logs und Werkzeugen

Das Gateway maskiert seine eigenen Oberflächen; Sie kontrollieren Ihre Seite. Dasselbe Prinzip gilt überall, wo ein Schlüssel in Ihrem Stack landen könnte:
  • Loggen Sie nie den Authorization-Header oder den rohen sk-orca-…-Wert. Wenn Sie aufzeichnen müssen, welcher Schlüssel einen Aufruf gemacht hat, loggen Sie dieselbe Form, die die Konsole verwendet — das Präfix und die letzten vier Zeichen — nicht das vollständige Secret.
  • Speichern Sie Klartext nur in einem Secret-Manager, nie in der Versionsverwaltung, in CI-Logs oder einer in ein Repo eingecheckten Konfigurationsdatei. Der Schlüssel ist in der Konsole genau deshalb maskiert, damit Ihre eigenen Systeme der einzige Ort sind, an dem das Live-Secret lebt.
  • Fassen Sie Schlüssel eng, sodass selbst eine geleakte Anmeldeinformation einen begrenzten Blast-Radius hat — ein Modell, ein IP-Bereich, ein Ausgabenlimit. Siehe die Least-Agency-Checkliste.
Maskierung reduziert die Anzeige-Exposition; sie reduziert nicht die Macht eines Schlüssels, der doch leakt. Ein maskierter Fingerabdruck in einem Log ist sicher, aber der Live-Schlüssel in einem Secret-Manager authentifiziert weiterhin vollständig — weshalb enger Scope und schnelle Rotation genauso wichtig sind wie Maskierung.

6. Wie das zum Rest der Schlüssel-Hygiene passt

Maskierung ist eine Ebene einer Defense-in-Depth-Haltung für Anmeldeinformationen:

Schlüssel verwalten

Schlüssel erstellen, deaktivieren und widerrufen — der Lebenszyklus hinter jeder maskierten Zeile in der Liste.

Das Token-Objekt

Jedes Feld, das ein Schlüssel trägt, einschließlich der Limits, die den Blast-Radius eines geleakten Schlüssels begrenzen.

Schlüsselrotation

Die ausfallfreie Übergabe an einen frischen Schlüssel, wenn Sie einen alten nicht wiederherstellen oder ihm nicht vertrauen können.

Reaktion auf geleakte Schlüssel

Was zu tun ist in dem Moment, in dem Sie vermuten, dass eine Anmeldeinformation exponiert ist.
Für das größere Bild, wie Schlüssel, Policies und Workspaces sich verschachteln, um jedem Agenten die engste Identität zu geben, siehe Scope & Schlüssel. Die Regel ist einfach: Die Konsole zeigt Ihnen genug, um einen Schlüssel wiederzuerkennen, und nie genug, um einen zu leaken. Halten Sie den Klartext in Ihrem Secret-Manager, stützen Sie sich überall sonst auf den maskierten Fingerabdruck und rotieren Sie in dem Moment, in dem die Identität eines Schlüssels in Zweifel steht.