跳转到主要内容
当一个智能体被攻陷时——提示注入、一个被投毒的工具结果、 一个失控循环——它能造成的损害恰好被一件事所限定: 它的 API 密钥被允许做什么。一个在每个调用方之间共享的工作区 密钥,会把一个被攻陷的智能体变成一次波及整个工作区的事故。 一个范围狭窄的密钥,则把同样的攻陷变成一次被遏制、 可审计的事件。 这是密钥章节的中枢。它涵盖最小权限身份模型以及 限定一个密钥的各个字段,然后链接到针对每一项的 专题页面。

1. 为什么面向 LLM 智能体使用限定范围 api 密钥

一个通用 API 密钥是一份持有者凭据:谁持有它,谁就能调用任何 模型、从任何地方、花任意金额,且不附带任何策略。那与一个 自治智能体所需要的恰好相反。 在 OrcaRouter 上,一个 API 密钥不只是一份凭据——它是一份范围 声明。每个密钥携带自己的约束(哪些模型、哪些 IP、多少花费、 何时到期)并且指向治理其流量的 防护栏防火墙策略。 编辑某个密钥所指向的策略,会在下一次请求时生效,无需重新部署、 无需修改智能体代码。 其原则是最小权限:给每个智能体一个仍能让它完成本职工作的 最狭窄身份,仅此而已。一个密钥、一个智能体、一个用途。
内化这个模型最快的方式:阅读 范围与密钥 了解 工作区 → 策略 → 密钥层级,然后对照一个真实密钥逐项过一遍 最小权限检查清单

2. 一个限定范围的密钥携带什么

每个密钥都是一束限制加上两个策略附加项。每个字段都在 它自己的页面上有文档——下方的辐条链接通向深度内容。

模型限制

model_limits 把一个密钥限制在一份命名的模型列表上。一次列表 之外的调用会在它离开网关之前就被拒绝——智能体无法切换到更贵 或能力更强的模型。

IP 允许列表

allow_ips 把一个密钥钉到特定的源地址上。一个从其他任何地方 出示的泄露密钥都会在认证层被拒绝。

配额、上限与到期

credit_limit_usd 限定终身花费(0 = 无限);expired_time 设置一个绝对到期(-1 = 永不)。

环境

environment 是一个自由格式标签(prodstagingdev), 用于组织密钥和过滤日志。

绑定策略

guardrail_idfirewall_policy_id 把一份内容策略和一份 工具调用策略附加到密钥上。不附加则回退到工作区默认值。

令牌对象

密钥的逐字段完整参考,包括 remain_quota / used_quotais_firewall_gateway
有界 vs 无界。 一个 credit_limit_usd: 0expired_time: -1 的密钥既无花费上限也永不到期——很方便,但一旦泄露便是最坏的 影响半径。何时各自合适,参见 无限 vs 有界

3. 一个具体的最小权限密钥

一个用一个廉价模型来汇总支持工单、且从单一主机运行的定时 智能体,几乎不需要任何权限。一个为它精心限定范围的密钥:
字段取值原因
model_limits一个汇总模型无法升级到前沿模型
allow_ips调度器的出口 CIDR泄露的密钥在别处无用
credit_limit_usd一个每周上限失控循环无法耗尽余额
expired_time部署结束自动到期,无法滞留
guardrail_id一个 PII 脱敏防护栏请求文本被筛查
firewall_policy_id只允许它需要的工具没有意外的工具调用
如果这个智能体被劫持,它仍然只能调用一个模型、只能从一个 IP 段、只能在它的上限之内,并且只能调用其防火墙策略允许的 工具。工作区的其余部分毫发无损——而且 审计追踪 会精确显示它被授权做了什么。
在控制台的密钥编辑器(/console/token)中设置每个字段。创建 或编辑密钥需要 Developer 角色或以上。

4. 绑定两个策略平面

这两个附加项是密钥上最强大的字段,而当一个被附加的策略被禁用 时,它们的解析方式不同:
对照一份工作区限定的、有序的 防护栏,筛查请求与响应文本 (PII、密钥、提示注入)。解析:一个明确的、已启用的 guardrail_id 适用;一个被禁用的就是关闭开关——它不会 回退到工作区默认值。没有附加时,工作区默认防护栏适用, 否则不执行任何内容。
对照一份工作区限定的 防火墙策略, 治理一个智能体所采取的动作——工具调用、MCP 派发、egress。 解析方式与防护栏不同:一个被禁用的被附加防火墙策略 回退到工作区默认值,它不会关闭执行。
一个网关限定的令牌仅为防火墙 MCP 和 evaluate-hook 路由 (/api/v1/firewall/*)铸造,永不用于推理。一个普通密钥在 那里会得到 403。启用此标志,以及读取网关密钥的明文, 都需要 Admin+
完整的解析顺序——密钥附加项 → 工作区默认值 → 无——见于 范围与密钥绑定策略

5. 密钥章节

管理密钥

在控制台中创建、编辑和吊销密钥。

轮换

无停机地轮换一个密钥。

到期密钥

面向短暂智能体和 CI 运行的短寿命密钥。

密钥掩码

密钥在展示时被掩码;明文在创建时显示一次。

泄露密钥

一个密钥暴露的那一刻该做什么。

最小权限检查清单

让每个密钥都经过同样的加固流程。

6. 密钥在控制栈中的位置

一个限定范围的密钥是第一道防线——它在任何策略运行之前就 决定调用方是谁、它能触及什么。防护栏与防火墙是接下来的层。

保护 AI 智能体

为什么智能体身份是控制栈的基础。

防护栏 vs 防火墙

一个密钥可以绑定的两个策略平面。

过度代理

最小权限密钥旨在遏制的那种威胁。
一个没有 model_limits、没有 allow_ips、没有 credit_limit_usd、 没有到期、也没有任何策略附加的密钥拥有最大权限。如果它泄露, 持有者就得到了你的整个工作区。在每个生产密钥上线之前为它限定 范围——从 安全智能体基线 开始。
范围是基础:每个密钥越狭窄,万一某个智能体被攻陷时的影响半径 就越小——而且每个智能体被授权做了什么的记录也越清晰。