Arlopass

¿Qué es Arlopass?

Arlopass es una extensión gratuita y de código abierto para el navegador, y un SDK para desarrolladores, que permite a las apps web usar tus proveedores de IA sin exponer tus claves API al navegador ni a un proxy de servidor. En lugar de codificar credenciales en tu aplicación, Arlopass gestiona las conexiones y el enrutamiento del lado del usuario.

Con Arlopass, los usuarios pueden elegir qué proveedores y modelos de IA puede acceder un sitio específico, aprobar solicitudes de conexión y establecer reglas como si cada petición requiere permiso. El objetivo es mantener el control de la selección de modelos y la gestión de credenciales en manos del usuario.

Características principales

• Extensión para navegador con acceso a IA por app: Cuando una app web solicita uso de IA a través de Arlopass, el usuario puede aprobar o denegar la conexión y seleccionar qué proveedores/modelos están permitidos.
• Selección de proveedores y modelos: Los usuarios pueden activar/desactivar proveedores (p. ej., Ollama, Claude, OpenAI/GPT, Gemini, Bedrock) y elegir qué modelos específicos puede usar el sitio.
• Bóveda local de credenciales (sin claves en navegador/servidor): Las credenciales API se almacenan en una bóveda local en el dispositivo, con cifrado en reposo (AES-256-GCM). Las claves nunca se colocan en el navegador ni se envían a un servidor.
• Flujo de trabajo “cero gestión de claves”: Para desarrolladores y usuarios, la interfaz se centra en aprobar accesos y elegir modelos, sin gestionar claves en el código de la app.
• SDK para desarrolladores con integración en ~10 líneas: El ejemplo usa connect() y session.createChat() con chat.stream(...) para transmitir salida vía iterador asíncrono, mientras Arlopass del usuario maneja la autenticación y enrutamiento.
• Reglas y límites de permisos por app: La interfaz soporta opciones como “Siempre pedir permiso”, un “modo Autopilot” para llamadas consecutivas y un ajuste de “Límite diario de tokens”.

Cómo usar Arlopass

1. Instala la extensión de Chrome desde la Chrome Web Store.
2. Conecta tus proveedores de IA en Arlopass (Ollama, Claude, OpenAI, Gemini, Bedrock se muestran en la fuente). Las credenciales se cifran en una bóveda local en tu dispositivo.
3. Permite acceso para una app web específica: Cuando un sitio solicita uso de IA, Arlopass te pide seleccionar proveedores y modelos permitidos, y confirma la sesión segura.
4. Usa el SDK en tu app (para desarrolladores): Instala @arlopass/web-sdk, llama a connect(), crea una sesión de chat y transmite resultados de chat.stream(...). Tu app no recibe ni almacena claves API.

Casos de uso

• Acceso a IA controlado por el usuario para un sitio web específico: Puedes conectar y limitar un solo sitio (p. ej., permitir solo modelos de Claude para ese sitio) mientras deniegas otros.
• Cambiar entre modelos sin modificar el código de la app: Si varios proveedores/modelos están permitidos para un sitio, los usuarios pueden actualizar permisos para usar modelos distintos mientras la app sigue llamando a Arlopass.
• Flujos de solicitudes con o sin permiso: Para tareas sensibles, mantén activado “Siempre pedir permiso”; para flujos ligeros, activa “modo Autopilot” para ejecutar llamadas IA consecutivas sin prompts por petición.
• Limitación de tasa vía límites diarios de tokens: Establece un “Límite diario de tokens” (la fuente muestra un ejemplo de 100k / 50k) por app conectada para restringir el consumo.
• Integración para desarrolladores sin proxy backend: En lugar de construir un proxy de credenciales en servidor, un desarrollador puede enrutar solicitudes IA a través de Arlopass con el SDK, manteniendo las credenciales del usuario en el dispositivo.

Preguntas frecuentes

• ¿Arlopass expone mis claves API al navegador? No. Las credenciales se cifran en una bóveda local en tu dispositivo y no se colocan en el navegador.

• ¿Un desarrollador necesita gestionar claves API en su servidor o código? La fuente enfatiza “cero gestión de claves” y “sin proxy backend”, con el ejemplo del SDK mostrando que connect() y la creación de sesiones ocurren sin que el desarrollador vea o almacene claves API.

• ¿Pueden los usuarios aprobar qué proveedores y modelos puede usar un sitio? Sí. El flujo de conexión incluye seleccionar proveedores (paso 1) y modelos (paso 2) para la app solicitante.

• ¿Hay opción para requerir confirmación en cada solicitud de IA? Sí. La interfaz de permisos incluye “Siempre pedir permiso” y también un “modo Autopilot” para llamadas consecutivas.

• ¿Qué límites se pueden establecer para el uso de una app? La fuente menciona un “Límite diario de tokens” y muestra valores de ejemplo en la interfaz de permisos de la app.

Alternativas

• Integraciones directas de API de proveedores en tu app web: Puedes llamar directamente a los proveedores de modelos desde tu servidor, pero normalmente necesitas manejar las claves API y el enrutamiento tú mismo en lugar de depender de un almacén de credenciales del usuario y aprobaciones por app.
• Servicios proxy del lado del servidor para LLMs: Otra opción es crear un backend que almacene credenciales y reenvíe solicitudes. Esto difiere de Arlopass al trasladar la gestión de claves a tu infraestructura en vez del dispositivo del usuario.
• Llamadas a modelos del lado del cliente con claves gestionadas por el usuario: Algunos sistemas requieren que los usuarios peguen claves API en el navegador o cliente. Esto difiere del enfoque de Arlopass de mantener las credenciales en un almacén cifrado local y no en el navegador.