跳轉到主要內容
當一個代理遭到入侵——提示注入、一個被下毒的工具結果、 一個失控的迴圈——它能造成的損害僅由一件事所界定: 它的 API 金鑰被允許做什麼。一把跨每個呼叫者共用的工作區 金鑰,會把一個被入侵的代理變成一場波及整個工作區的事故。 一把狹窄範圍限定的金鑰,則把同樣的入侵變成一個被收束、 可稽核的事件。 這是金鑰章節的樞紐頁。它涵蓋最小自主(least-agency) 身份模型,以及為金鑰設定範圍的那些欄位,接著連結到 各自的專屬頁面。

1. 為何要為 LLM 代理使用範圍限定 API 金鑰

一把一般的 API 金鑰是一張持有者憑證:誰持有它,誰就能呼叫任何 模型、從任何地方、花費任何金額,且不附帶任何政策。那正是 自主代理所需要的反面。 在 OrcaRouter 上,一把 API 金鑰不只是一張憑證——它是一份範圍 宣告。每把金鑰攜帶它自己的限制(哪些模型、哪些 IP、多少花費、何時到期)並且指向那份治理其流量的 防護欄防火牆政策。 編輯某把金鑰所指向的政策,會在下次請求時生效,無需重新部署、 也無需修改代理程式碼。 其原則是最小自主:給每個代理最狹窄、卻仍足以讓它 完成工作的身份,僅此而已。一把金鑰、一個代理、一個目的。
內化此模型最快的方式:閱讀 範圍與金鑰了解 工作區 → 政策 → 金鑰的層級,然後對一把真實的金鑰實際走一遍 最小自主檢查清單

2. 一把範圍限定金鑰攜帶什麼

每把金鑰都是一束限制加上兩個政策附掛。每個欄位都在它 自己的頁面上有文件——下方的輻條連結通向深入內容。

模型限制

model_limits 將一把金鑰限制在一份命名的模型清單上。清單之外的 呼叫會在離開閘道之前就被拒絕——代理無法 切換到更昂貴或更強大的模型。

IP 允許清單

allow_ips 將一把金鑰固定到特定的來源位址。一把外洩的金鑰 若從其他任何地方出示,都會在驗證層被拒絕。

配額、上限與到期

credit_limit_usd 為終生花費設上限(0 = 無限制);expired_time 設定一個絕對到期時間(-1 = 永不)。

環境

environment 是一個自由格式的標籤(prodstagingdev),用於 組織金鑰與篩選日誌。

綁定政策

guardrail_idfirewall_policy_id 把一份內容政策與一份 工具呼叫政策附掛到金鑰上。沒有附掛則回退到工作區 預設值。

權杖物件

一把金鑰逐欄位的完整參考,包含 remain_quota / used_quotais_firewall_gateway
有界 vs 無界。 一把帶有 credit_limit_usd: 0expired_time: -1 的金鑰沒有花費上限且永不到期——很方便,但若它 外洩,會是最糟的波及範圍。參見 無限制 vs 有界了解各自適用的 時機。

3. 一把具體的最小自主金鑰

一個用一個便宜模型摘要支援工單、並從單一主機執行的 排程代理,幾乎不需要任何自主。一把為它良好範圍限定的金鑰:
欄位為何
model_limits一個摘要模型無法升級到前沿模型
allow_ips排程器的 egress CIDR外洩的金鑰在他處毫無用處
credit_limit_usd每週上限失控的迴圈無法耗盡餘額
expired_time部署結束時自動到期,無法滯留
guardrail_id一份遮罩 PII 的防護欄請求文字會被審查
firewall_policy_id只允許清單它所需的工具沒有意外的工具呼叫
如果這個代理被劫持,它仍然只能呼叫一個模型、只能來自一個 IP 範圍、只能到其上限為止,且只能呼叫其防火牆政策 所允許的工具。工作區的其餘部分毫髮無傷——而 稽核軌跡會精確顯示它 被授權做什麼。
在主控台的金鑰編輯器(/console/token)中設定每個欄位。 建立或編輯金鑰需要 Developer 角色或以上。

4. 綁定兩個政策平面

這兩個附掛是金鑰上最強大的欄位,而當一個附掛的 政策被停用時,它們解析的方式不同:
對照一份工作區範圍限定的、有序的 防護欄審查請求與回應的文字(PII、密鑰、提示 注入)。解析方式:一個明確、已啟用的 guardrail_id 會套用;一個已停用的則是關閉開關——它不會 回退到工作區預設值。沒有附掛時, 工作區預設防護欄會套用,否則什麼也不套用。
對照一份工作區範圍限定的防火牆政策治理一個代理採取的 動作——工具呼叫、MCP 派發、egress。 解析方式與防護欄不同:一個已停用的附掛防火牆 政策會回退到工作區預設值,它不會把強制執行 關閉。
一個閘道範圍限定的權杖只為防火牆 MCP 與 evaluate-hook 路由(/api/v1/firewall/*)鑄造,絕不用於推論。一把 一般金鑰在那裡會得到 403。啟用此旗標,以及讀取 閘道金鑰的明文,需要 Admin+
完整的解析順序——金鑰附掛 → 工作區預設值 → 無—— 記載於 範圍與金鑰 以及綁定政策

5. 金鑰章節

管理金鑰

在主控台建立、編輯與撤銷金鑰。

輪替

在不中斷服務的情況下輪替一把金鑰。

到期金鑰

為短暫代理與 CI 執行而設的短命金鑰。

金鑰遮罩

金鑰在顯示時會被遮罩;明文只在建立時顯示一次。

外洩金鑰

一把金鑰一旦暴露的當下該怎麼做。

最小自主檢查清單

讓每把金鑰都走過同一道硬化流程。

6. 金鑰在控制堆疊中的位置

一把範圍限定金鑰是防禦的第一層——它在任何政策執行之前, 就決定呼叫者是誰、它可以觸及什麼。防護欄與 防火牆是接下來的層次。

保護 AI 代理

為何代理身份是控制堆疊的基礎。

防護欄 vs 防火牆

一把金鑰可以綁定的兩個政策平面。

過度自主

最小自主金鑰所要收束的威脅。
一把沒有 model_limits、沒有 allow_ips、沒有 credit_limit_usd、沒有 到期、也沒有政策附掛的金鑰,擁有最大自主。如果它外洩, 持有者會得到你的整個工作區。在每把生產金鑰出貨之前就為它設定範圍 ——從安全代理基準開始。
範圍就是基礎:每把金鑰越狹窄,任何單一代理一旦被入侵時的波及 範圍就越小——而每個代理被授權做什麼的紀錄 也越清晰。