Saltar al contenido principal
Un agente comprometido no se detiene por sí solo. Una inyección de prompts que lo engaña para entrar en un bucle de reintentos, o una clave filtrada en un log de CI, seguirá llamando a modelos hasta que algo diga basta. En OrcaRouter ese “algo” son dos campos en la propia clave: un tope de gasto y una expiración. Establécelos una vez en el editor de claves y el gateway aplica ambos en cada solicitud — sin cambio de código del agente, sin redespliegue. Esta página es la referencia enfocada para esos dos límites. Para la lista completa de campos de clave, ver el objeto token; para el modelo de identidad alrededor de ellos, ver visión general de claves con alcance.

1. El límite de gasto de la clave API: credit_limit_usd

credit_limit_usd es el techo de gasto de por vida para una clave, expresado en USD simple. Escribes una cifra en dólares en el editor de claves; OrcaRouter la convierte en la cuota inicial de la clave y mide cada llamada contra ella.

Acotada

credit_limit_usd: 25 acuña una clave con $25 de gasto. Cada llamada descuenta su coste; una vez que el saldo restante llega a cero la clave deja de autorizar y toda solicitud posterior es rechazada.

Ilimitada

credit_limit_usd: 0 es el centinela para sin tope — la clave se nutre del saldo de tu espacio de trabajo sin techo por clave. Cómodo, pero el peor radio de explosión si se filtra.
0 no significa “cero dólares” — significa ilimitado. Una clave que pretendías limitar a un presupuesto minúsculo debe llevar un número positivo. Para expresar “esta clave no puede gastar nada”, deshabilítala o elimínala, no establezcas el tope en 0.

2. Cómo se mide el tope: remain_quota y used_quota

El tope en dólares que ingresas es la superficie de cara al humano. Debajo de él, el gateway rastrea dos contadores en marcha en la clave:
CampoSignificado
remain_quotaGasto restante antes de que la clave deje de autorizar.
used_quotaGasto consumido hasta ahora a lo largo de la vida de la clave.
Establecer un credit_limit_usd positivo siembra remain_quota desde esa cifra en dólares; cada llamada facturada mueve el coste de remain_quota a used_quota. Una clave con un tope ilimitado lleva unlimited_quota en su lugar, y la verificación de saldo se omite por completo.
Un bloqueo de guardrail o firewall no cuesta nada contra el tope cuando se dispara antes de que el modelo se ejecute — un guardrail_blocked de etapa de entrada y un firewall_blocked inbound ocurren ambos antes de la medición, así que remain_quota queda intacto. Un bloqueo de guardrail de etapa de salida reembolsa la solicitud. Ver guardrails y firewall.

3. Auto-expiración: expired_time

expired_time es un corte absoluto — una marca de tiempo de época Unix (segundos) después de la cual la clave deja de autorizar, sin importar cuánto presupuesto quede.
  • Una marca de tiempo futura expira la clave en ese instante. El gateway la compara contra la hora actual en cada solicitud y rechaza la llamada una vez que ha pasado.
  • -1 es el centinela para nunca expira.
Los dos límites son independientes y ambos deben pasar. Una clave con presupuesto restante pero un expired_time pasado está muerta; una clave dentro de su ventana de validez con remain_quota en cero está muerta. Gana el límite que se dispare primero. El editor rechaza una expiración fijada en el pasado, así que no puedes acuñar una clave nacida-expirada por accidente.
Para claves de corta duración acuñadas por ejecución de CI o por agente efímero, ver claves expirantes.

4. Una clave concreta acotada y expirante

Un trabajo nocturno que concilia facturas con un modelo barato, se ejecuta durante un piloto de dos semanas y nunca debería costar más que unos pocos dólares por noche, necesita casi nada de agencia. Configura su clave en el editor de claves de la consola (/console/tokenDeveloper+):
1

Establece el tope de gasto

credit_limit_usd: 40 — todo el presupuesto del piloto. Un bucle de reintentos descontrolado agota la clave, no el saldo de tu espacio de trabajo.
2

Establece la expiración

expired_time: la marca de tiempo Unix para el fin de la ventana del piloto. La clave auto-expira y no puede reutilizarse después de que el piloto se envíe.
3

Combina con los otros alcances

Añade model_limits para que no pueda escalar a un modelo de frontera, y allow_ips para que una clave filtrada sea inútil fuera del host del programador.
Si este agente es secuestrado al tercer día, el daño está acotado a lo que quede de sus $40, y toda la clave desaparece en once días de todos modos. El resto del espacio de trabajo queda intacto.
Ambos campos son USD-y-tiempo en la clave, no política a nivel de espacio de trabajo. Para limitar el gasto de una sola ejecución de agente (en vez de la vida de una clave), el veredicto cap_cost del Firewall es el interruptor de circuito por ejecución — ver reglas de firewall. Los dos se componen: el tope de la clave acota la vida, cap_cost acota una sola ejecución.

5. Quién puede establecer esto

Establecer credit_limit_usd y expired_time es parte de crear o editar una clave, lo que requiere el rol Developer o superior. Cualquier miembro del espacio de trabajo puede leer el registro enmascarado de una clave; solo Developer+ puede cambiar sus límites. Las claves se enmascaran en pantalla — el texto plano se muestra una vez en la creación (ver enmascarado de claves).

6. Acotada por defecto

Una clave con credit_limit_usd: 0 y expired_time: -1 no tiene tope de gasto y nunca expira — máxima agencia, peor radio de explosión. Haz de eso la excepción deliberada, no el valor por defecto.

Ilimitada vs acotada

Cuándo una clave sin tope y sin expiración es de hecho la elección correcta — y cuándo no.

Checklist de mínima agencia

Pasa cada clave de producción por la misma pasada de endurecimiento antes de enviarla.

7. Relacionado

El objeto token

Cada campo de una clave, incluyendo los contadores de cuota.

Vincular políticas

Adjunta un guardrail y una política de firewall a la misma clave.

Agencia excesiva

La amenaza que los topes de gasto y la expiración están hechos para contener.
Un tope de gasto y una expiración son el seguro más barato sobre una clave: dos números que convierten una credencial abierta en una que falla de forma segura — vacía o expirada — en vez de ejecutarse hasta que tu factura se dé cuenta.