Saltar al contenido principal
Una credencial que puedes leer de una pantalla es una credencial que puedes filtrar. Una vez que has copiado una clave nueva, casi nunca necesitas su texto plano de nuevo — necesitas reconocerla: cuál clave es esta, en qué entorno, es la que usa el agente que falla. La consola de OrcaRouter responde eso sin nunca reimprimir un secreto funcional: cada clave se renderiza en una forma enmascarada que conserva justo los caracteres suficientes para identificarla y oculta el resto. Esta página cubre cómo se ve la forma enmascarada, cuándo se muestra y cuándo no el texto plano, y cómo enmascarar valores de clave API de forma segura en tus propios logs y herramientas.

1. Por qué enmascarar valores de clave API en pantalla

La clave completa es una credencial portadora: cualquiera que la lea puede llamar al gateway como tú, hasta los límites de esa clave. Las vistas de consola se copian en capturas de pantalla, compartir pantalla, tickets de soporte y reportes de error constantemente — así que mostrar el secreto en vivo en una lista de claves convertiría cada uno de esos en una filtración de credencial. El enmascarado resuelve esto separando dos necesidades que usualmente se confunden:
  • Identificación — ¿cuál clave es esta? Respondida por una huella enmascarada y estable que puedes leer de un vistazo.
  • Uso — ¿cuál es el secreto? Respondido exactamente una vez en la creación, y detrás de una revelación deliberada con rol restringido después de eso.
La consola satisface la primera necesidad en todas partes y restringe la segunda, así que la superficie por defecto — la lista de claves que miras todo el día — nunca lleva un secreto usable.
Una clave enmascarada no es una credencial funcional. No puede autenticar una solicitud. Solo el texto plano completo (sk-orca-…) que copiaste en la creación, o vuelto a revelar a través del endpoint restringido, puede llamar al gateway.

2. Cómo se ve la forma enmascarada

La consola muestra el prefijo de marca de la clave, luego una tira fija de asteriscos, luego los últimos cuatro caracteres — suficiente para distinguir dos claves, no suficiente para reconstruir ninguna.
CreasteLa consola muestra
sk-orca-9f3aK2…largo…7Qm4sk-orca-9f3****7Qm4
El primer segmento conserva el prefijo sk-orca- y unos pocos caracteres iniciales; los cuatro caracteres finales son la cola que reconocerás cuando cruces una línea de log o un error. Todo lo que está en medio se colapsa a una máscara fija — la tira de asteriscos es una constante, así que su ancho nunca revela la verdadera longitud de la clave.
Combina la cola enmascarada con la etiqueta environment y el nombre de la clave cuando necesites encontrar una clave específica rápido — la cola de cuatro caracteres más una etiqueta prod / staging es casi siempre suficiente para elegir la correcta de una lista sin nunca revelar texto plano.

3. Cuándo se muestra el texto plano — y cuándo no

Hay exactamente un momento en que la clave completa es tuya para copiar, y una sola ruta restringida para recuperarla de nuevo.
Cuando acuñas una clave, la consola muestra el texto plano completo sk-orca-… una vez. Cópialo a tu gestor de secretos entonces. Cada vista posterior de esa clave — la lista, el panel de detalle, los resultados de búsqueda — muestra solo la forma enmascarada.
Puedes volver a revelar el texto plano de una clave ordinaria bajo demanda, pero es una acción deliberada detrás del rol Developer+ — no algo que la lista por defecto exponga nunca. Volver a revelar una clave con alcance de gateway (is_firewall_gateway) requiere el rol Admin (o Owner), porque ese token puede leer credenciales de servidores MCP registrados.
Listar claves, abrir el detalle de una clave, buscar y cada lectura del objeto token devuelven la forma enmascarada. El texto plano nunca se incluye en una respuesta de lista o búsqueda.
Como volver a revelar está restringido y una clave con alcance de gateway necesita Admin para leerse de nuevo, trata la copia en tiempo de creación como tu única captura confiable. Guárdala en tu gestor de secretos de inmediato. Si pierdes el texto plano de una clave ordinaria puedes volver a revelarlo (Developer+); si no puedes revelarlo y no puedes recuperarlo, rota a una clave nueva en vez de buscar rodeos para una clave que ya no puedes leer.

4. Un ejemplo concreto: identificar la clave filtrada

Supón que se dispara una alerta — una clave está haciendo llamadas desde una IP inesperada — y la línea de log lleva la cola enmascarada …7Qm4. No necesitas el texto plano para actuar:
  1. Abre la lista Keys de la consola (/console/token). Cada fila muestra su huella enmascarada — sk-orca-9f3****7Qm4 y su etiqueta environment.
  2. Empareja la cola …7Qm4 (y la etiqueta prod) con la fila infractora. La forma enmascarada es precisamente el identificador que necesitas aquí — ningún secreto se expone en la lista, la alerta o tu captura de pantalla de ella.
  3. Deshabilita esa clave para pausarla, o elimínala para revocarla de forma definitiva — ambas son acciones seguras-para-enmascarado que nunca imprimen el texto plano. Ver Gestionar claves y Respuesta a clave filtrada.
Todo el triaje se ejecuta sobre la huella enmascarada. El texto plano se queda en tu gestor de secretos, donde pertenece.

5. Enmascarado en tus propios logs y herramientas

El gateway enmascara sus propias superficies; tú controlas tu lado. El mismo principio aplica a cualquier lugar donde una clave pueda aterrizar en tu pila:
  • Nunca registres la cabecera Authorization ni el valor sk-orca-… en bruto. Si debes registrar cuál clave hizo una llamada, registra la misma forma que usa la consola — el prefijo y los últimos cuatro caracteres — no el secreto completo.
  • Almacena el texto plano solo en un gestor de secretos, nunca en control de versiones, logs de CI o un archivo de configuración subido a un repo. La clave se enmascara en la consola precisamente para que tus propios sistemas sean el único lugar donde vive el secreto en vivo.
  • Acota las claves estrechamente para que incluso una credencial filtrada tenga un radio de explosión acotado — un modelo, un rango de IP, un tope de gasto. Ver el Checklist de mínima agencia.
El enmascarado reduce la exposición de visualización; no reduce el poder de una clave que sí se filtra. Una huella enmascarada en un log es segura, pero la clave en vivo en un gestor de secretos aún autentica por completo — razón por la cual el alcance estrecho y la rotación rápida importan tanto como el enmascarado.

6. Cómo encaja esto en el resto de la higiene de claves

El enmascarado es una capa de una postura de defensa en profundidad para credenciales:

Gestionar claves

Crear, deshabilitar y revocar claves — el ciclo de vida detrás de cada fila enmascarada en la lista.

El objeto token

Cada campo que lleva una clave, incluyendo los límites que acotan el radio de explosión de una clave filtrada.

Rotación de claves

El traspaso sin tiempo de inactividad a una clave nueva cuando no puedes recuperar o confiar en una vieja.

Respuesta a clave filtrada

Qué hacer en el momento en que sospechas que una credencial está expuesta.
Para el panorama más amplio de cómo se anidan claves, políticas y espacios de trabajo para dar a cada agente la identidad más estrecha, ver Alcance y claves. La regla es simple: la consola te muestra lo suficiente para reconocer una clave y nunca lo suficiente para filtrar una. Mantén el texto plano en tu gestor de secretos, apóyate en la huella enmascarada en todas partes, y rota en el momento en que la identidad de una clave esté en duda.