Arlopass

Was ist Arlopass?

Arlopass ist eine kostenlose, Open-Source-Browser-Erweiterung und ein Developer SDK, die Web-Apps hilft, deine KI-Provider zu nutzen, ohne dass deine API-Keys dem Browser oder einem Server-Proxy preisgegeben werden. Statt Credentials fest im Code zu verankern, übernimmt Arlopass die Provider-Verbindungen und das Routing auf Nutzerseite.

Mit Arlopass können Nutzer wählen, welche KI-Provider und Modelle eine bestimmte Site nutzen darf, Verbindungsanfragen genehmigen und Regeln wie „Jede Anfrage genehmigen“ festlegen. Ziel ist es, Modellauswahl und Credential-Verwaltung unter Nutzerkontrolle zu halten.

Wichtige Funktionen

• Browser-Erweiterung für app-spezifischen KI-Zugang: Wenn eine Web-App KI-Nutzung über Arlopass anfragt, kann der Nutzer die Verbindung genehmigen oder ablehnen und erlaubte Provider/Modelle auswählen.
• Provider- und Modellauswahl: Nutzer können Provider (z. B. Ollama, Claude, OpenAI/GPT, Gemini, Bedrock) aktivieren/deaktivieren und spezifische Modelle für die Site festlegen.
• Lokaler Credential-Tresor (keine Keys im Browser/Server): API-Credentials werden verschlüsselt (AES-256-GCM) in einem lokalen Tresor auf dem Gerät gespeichert. Keys gelangen nie in den Browser und werden nie an einen Server gesendet.
• „Zero Key Management“-Workflow: Für Entwickler und Nutzer dreht sich die Oberfläche um Zugriffs-Genehmigungen und Modellauswahl statt Key-Verwaltung im App-Code.
• Developer SDK mit ~10-Zeilen-Integration: Das Beispiel nutzt connect() und session.createChat() mit chat.stream(...), um Ausgaben via Async-Iterator zu streamen – Arlopass übernimmt Provider-Auth und Routing.
• App-spezifische Berechtigungen und Limits: Die UI bietet Optionen wie „Immer um Erlaubnis fragen“, „Autopilot-Modus“ für aufeinanderfolgende Aufrufe und „Daily Token Limit“.

So nutzt du Arlopass

1. Chrome-Erweiterung installieren aus dem Chrome Web Store.
2. KI-Provider in Arlopass verbinden (Ollama, Claude, OpenAI, Gemini, Bedrock). Credentials werden verschlüsselt in einem lokalen Tresor auf deinem Gerät gespeichert.
3. Zugriff für eine Web-App erlauben: Bei AI-Anfrage einer Site wirst du aufgefordert, erlaubte Provider und Modelle auszuwählen, dann wird die sichere Session bestätigt.
4. SDK in deiner App nutzen (für Entwickler): @arlopass/web-sdk installieren, connect() aufrufen, Chat-Session erstellen und Ergebnisse von chat.stream(...) streamen. Deine App erhält oder speichert keine API-Keys.

Anwendungsfälle

• Nutzerkontrollierter KI-Zugang für eine Website: Verbinde dich und begrenze eine einzelne Site (z. B. nur Claude-Modelle erlauben), während andere abgelehnt werden.
• Modelle wechseln ohne App-Code-Änderung: Bei mehreren erlaubten Providern/Modelle kann der Nutzer Berechtigungen anpassen, während die App weiter Arlopass aufruft.
• Genehmigte vs. automatisierte Anfragen: Für sensible Aufgaben „Immer um Erlaubnis fragen“ aktiv lassen; für leichtere Workflows „Autopilot-Modus“ für aufeinanderfolgende AI-Aufrufe nutzen.
• Ratenbegrenzung via Daily Token Limit: Pro App ein „Daily Token Limit“ (z. B. 100k / 50k) setzen, um Verbrauch einzuschränken.
• Developer-Integration ohne Backend-Proxy: Statt Server-Proxy AI-Anfragen über SDK via Arlopass routen – Nutzer-Credentials bleiben auf dem Gerät.

FAQ

• Gibt Arlopass meine API-Keys an den Browser weiter? Nein. Credentials werden verschlüsselt in einem lokalen Tresor auf deinem Gerät gespeichert und gelangen nicht in den Browser.

• Muss ein Entwickler API-Keys im Server oder Code verwalten? Nein. Der Fokus liegt auf „Zero Key Management“ und „kein Backend-Proxy“ – SDK-Beispiel zeigt, dass connect() und Session-Erstellung ohne Sichtbarkeit/Speicherung von Keys ablaufen.

• Können Nutzer Provider und Modelle pro Site genehmigen? Ja. Der Verbindungsflow umfasst Provider-Auswahl (Schritt 1) und Modelle (Schritt 2) für die anfragende App.

• Gibt es eine Option, jede AI-Anfrage zu bestätigen? Ja. Die Berechtigungs-UI enthält „Immer um Erlaubnis fragen“ sowie „Autopilot-Modus“ für aufeinanderfolgende Aufrufe.

• Welche Limits lassen sich für eine App setzen? Es gibt ein „Daily Token Limit“ – die UI zeigt Beispiele für Token-Limits in den App-Berechtigungen.

Alternativen

• Direkte Provider-API-Integrationen in Ihrer Web-App: Sie können Model-Provider direkt vom Server aufrufen, müssen aber typischerweise API-Keys und Routing selbst handhaben – statt auf ein nutzerseitiges Credential-Vault und pro-App-Freigaben zu setzen.
• Serverseitige Proxy-Dienste für LLMs: Eine andere Variante ist ein Backend, das Credentials speichert und Anfragen weiterleitet. Das unterscheidet sich von Arlopass, da die Key-Verwaltung auf Ihre Infrastruktur statt auf das Gerät des Nutzers verlagert wird.
• Clientseitige Model-Aufrufe mit nutzerverwalteten Keys: Manche Setups verlangen, dass Nutzer API-Keys in den Browser oder Client einfügen. Das unterscheidet sich von Arlopass’ Ansatz, Credentials in einem lokalen verschlüsselten Vault zu halten und nicht im Browser.