Przejdź do głównej treści
Poświadczenie, które możesz odczytać z ekranu, to poświadczenie, które możesz wyciekać. Gdy już skopiujesz nowy klucz, niemal nigdy nie potrzebujesz jego plaintextu ponownie — potrzebujesz go rozpoznać: który to klucz, w którym środowisku, czy to ten, którego używa zawodzący agent. Konsola OrcaRouter odpowiada na to bez ponownego drukowania działającego sekretu: każdy klucz jest renderowany w formie zamaskowanej, która zachowuje akurat tyle znaków, by go zidentyfikować, i ukrywa resztę. Ta strona omawia, jak wygląda forma zamaskowana, kiedy plaintext jest, a kiedy nie jest pokazywany, oraz jak bezpiecznie maskować klucz api we własnych logach i narzędziach.

1. Po co maskować wartości klucza api przy wyświetlaniu

Pełny klucz to poświadczenie na okaziciela: ktokolwiek je odczyta, może wywołać bramę jako ty, do limitów tego klucza. Widoki konsoli są stale kopiowane do zrzutów ekranu, screen-share’ów, zgłoszeń wsparcia i raportów błędów — więc pokazywanie żywego sekretu na liście kluczy zamieniłoby każde z nich w wyciek poświadczenia. Maskowanie rozwiązuje to przez rozdzielenie dwóch potrzeb, które zwykle są mylone:
  • Identyfikacjaktóry to klucz? Odpowiedź daje stabilny, zamaskowany odcisk, który możesz odczytać na pierwszy rzut oka.
  • Użyciejaki jest sekret? Odpowiedź dokładnie raz przy tworzeniu, a potem za celowym, bramkowanym rolą ujawnieniem.
Konsola spełnia pierwszą potrzebę wszędzie i bramkuje drugą, więc domyślna powierzchnia — lista kluczy, na którą gapisz się cały dzień — nigdy nie niesie używalnego sekretu.
Zamaskowany klucz to nie działające poświadczenie. Nie może uwierzytelnić żądania. Tylko pełny plaintext (sk-orca-…), który skopiowałeś przy tworzeniu, lub ponownie ujawniony przez bramkowany endpoint, może wywołać bramę.

2. Jak wygląda forma zamaskowana

Konsola pokazuje prefiks marki klucza, potem stały ciąg gwiazdek, potem ostatnie cztery znaki — dość, by odróżnić dwa klucze, nie dość, by zrekonstruować którykolwiek.
UtworzyłeśKonsola pokazuje
sk-orca-9f3aK2…long…7Qm4sk-orca-9f3****7Qm4
Pierwszy segment zachowuje prefiks sk-orca- i kilka wiodących znaków; końcowe cztery znaki to ogon, który rozpoznasz, gdy odnosisz się do linii logu lub błędu. Wszystko pomiędzy jest zwinięte do stałej maski — ciąg gwiazdek jest stały, więc jego szerokość nigdy nie ujawnia prawdziwej długości klucza.
Połącz zamaskowany ogon z etykietą environment klucza i nazwą, gdy musisz szybko znaleźć konkretny klucz — czteroznakowy ogon plus tag prod / staging niemal zawsze wystarcza, by wyłuskać właściwy z listy, nigdy nie ujawniając plaintextu.

3. Kiedy plaintext jest pokazywany — a kiedy nie

Jest dokładnie jeden moment, gdy pełny klucz jest twój do skopiowania, oraz pojedyncza bramkowana ścieżka, by pobrać go ponownie.
Gdy wybijasz klucz, konsola wyświetla pełny plaintext sk-orca-… jeden raz. Skopiuj go wtedy do swojego menedżera sekretów. Każdy kolejny widok tego klucza — lista, panel szczegółów, wyniki wyszukiwania — pokazuje tylko formę zamaskowaną.
Możesz na żądanie ponownie ujawnić plaintext zwykłego klucza, ale to celowa akcja za rolą Developer+ — nie coś, co kiedykolwiek odsłania domyślna lista. Ponowne ujawnienie klucza w zakresie gateway (is_firewall_gateway) wymaga roli Admin (lub Owner), bo ten token może odczytać poświadczenia zarejestrowanych serwerów MCP.
Listowanie kluczy, otwieranie szczegółów klucza, wyszukiwanie i każdy odczyt obiektu tokenu zwracają formę zamaskowaną. Plaintext nigdy nie jest dołączany do listy ani odpowiedzi wyszukiwania.
Ponieważ ponowne ujawnienie jest bramkowane, a klucz w zakresie gateway potrzebuje Admin, by odczytać go znów, traktuj kopię z czasu tworzenia jako swój jeden niezawodny zrzut. Zapisz go do menedżera sekretów natychmiast. Jeśli zgubisz plaintext zwykłego klucza, możesz go ponownie ujawnić (Developer+); jeśli nie możesz go ujawnić i nie możesz go odzyskać, zrotuj na świeży klucz, zamiast obchodzić klucz, którego już nie możesz odczytać.

4. Jeden konkretny przykład: identyfikacja wyciekłego klucza

Powiedzmy, że odpala alert — klucz wykonuje wywołania z nieoczekiwanego IP — a linia logu niesie zamaskowany ogon …7Qm4. Nie potrzebujesz plaintextu, by działać:
  1. Otwórz listę Klucze w konsoli (/console/token). Każdy wiersz pokazuje swój zamaskowany odcisk — sk-orca-9f3****7Qm4 i etykietę environment.
  2. Dopasuj ogon …7Qm4 (i tag prod) do podejrzanego wiersza. Forma zamaskowana jest dokładnie identyfikatorem, którego tu potrzebujesz — żaden sekret nie jest ujawniony na liście, w alercie ani w twoim zrzucie ekranu z niego.
  3. Wyłącz ten klucz, by go wstrzymać, albo usuń go, by unieważnić na dobre — oba to akcje bezpieczne dla maski, które nigdy nie drukują plaintextu. Zobacz Zarządzanie kluczami oraz Reakcję na wyciekły klucz.
Cały triage działa na zamaskowanym odcisku. Plaintext zostaje w twoim menedżerze sekretów, gdzie jego miejsce.

5. Maskowanie we własnych logach i narzędziach

Brama maskuje własne powierzchnie; ty kontrolujesz swoją stronę. Ta sama zasada obowiązuje wszędzie, gdzie klucz może wylądować w twoim stosie:
  • Nigdy nie loguj nagłówka Authorization ani surowej wartości sk-orca-…. Jeśli musisz odnotować, który klucz wykonał wywołanie, loguj ten sam kształt, którego używa konsola — prefiks i ostatnie cztery znaki — nie pełny sekret.
  • Przechowuj plaintext tylko w menedżerze sekretów, nigdy w systemie kontroli wersji, logach CI ani pliku konfiguracyjnym wrzuconym do repo. Klucz jest zamaskowany w konsoli właśnie po to, by twoje własne systemy były jedynym miejscem, gdzie żyje żywy sekret.
  • Ograniczaj klucze wąsko, tak by nawet wyciekłe poświadczenie miało ograniczony promień rażenia — jeden model, jeden zakres IP, jeden limit wydatków. Zobacz Listę kontrolną minimalnych uprawnień.
Maskowanie redukuje ekspozycję wyświetlania; nie redukuje mocy klucza, który jednak wycieknie. Zamaskowany odcisk w logu jest bezpieczny, ale żywy klucz w menedżerze sekretów wciąż uwierzytelnia w pełni — dlatego wąski zakres i szybka rotacja liczą się tak samo jak maskowanie.

6. Jak to pasuje do reszty higieny kluczy

Maskowanie to jedna warstwa postawy obrony w głąb dla poświadczeń:

Zarządzanie kluczami

Twórz, wyłączaj i unieważniaj klucze — cykl życia za każdym zamaskowanym wierszem na liście.

Obiekt tokenu

Każde pole, które niesie klucz, w tym limity, które ograniczają promień rażenia wyciekłego klucza.

Rotacja kluczy

Przekazanie bez przestoju na świeży klucz, gdy nie możesz odzyskać ani zaufać staremu.

Reakcja na wyciekły klucz

Co zrobić w chwili, gdy podejrzewasz, że poświadczenie zostało ujawnione.
Po szerszy obraz tego, jak klucze, polityki i przestrzenie robocze zagnieżdżają się, by dać każdemu agentowi najwęższą tożsamość, zobacz Zakres i klucze. Reguła jest prosta: konsola pokazuje ci dość, by rozpoznać klucz, i nigdy dość, by go wyciekać. Trzymaj plaintext w menedżerze sekretów, oprzyj się na zamaskowanym odcisku wszędzie indziej i rotuj w chwili, gdy tożsamość klucza jest pod znakiem zapytania.