Arlopass

Qu'est-ce qu'Arlopass ?

Arlopass est une extension navigateur open source et un SDK développeur gratuits qui permet aux applications web d'utiliser vos fournisseurs d'IA sans exposer vos clés API au navigateur ou à un proxy serveur. Au lieu d'intégrer les identifiants en dur dans votre application, Arlopass gère les connexions aux fournisseurs et le routage du côté utilisateur.

Avec Arlopass, les utilisateurs choisissent quels fournisseurs d'IA et modèles un site donné peut utiliser, approuvent les demandes de connexion et définissent des règles comme l'obligation d'autorisation pour chaque requête. L'objectif est de garder le choix des modèles et la gestion des identifiants sous le contrôle de l'utilisateur.

Fonctionnalités principales

• Extension navigateur pour un accès IA par application : Quand une application web demande à utiliser l'IA via Arlopass, l'utilisateur peut approuver ou refuser la connexion et sélectionner les fournisseurs/modèles autorisés.
• Sélection de fournisseurs et modèles : Les utilisateurs activent/désactivent les fournisseurs (ex. : Ollama, Claude, OpenAI/GPT, Gemini, Bedrock) et choisissent les modèles spécifiques utilisables par le site.
• Coffre-fort local pour identifiants (pas de clés dans le navigateur/serveur) : Les identifiants API sont stockés dans un coffre local sur l'appareil, chiffrés au repos (AES-256-GCM). Les clés ne sont jamais placées dans le navigateur et jamais envoyées à un serveur.
• Flux de travail « zéro gestion de clés » : Pour les développeurs et utilisateurs, l'interface se concentre sur l'approbation d'accès et le choix des modèles, sans gestion de clés dans le code de l'application.
• SDK développeur avec intégration ~10 lignes : L'exemple fourni utilise connect() et session.createChat() avec chat.stream(...) pour diffuser la sortie via un itérateur asynchrone, tandis qu'Arlopass gère l'authentification et le routage.
• Règles et limites par application : L'interface propose des options comme « Toujours demander l'autorisation », un mode « Autopilot » pour les appels consécutifs, et un réglage « Limite quotidienne de tokens ».

Comment utiliser Arlopass

1. Installez l'extension Chrome depuis le Chrome Web Store.
2. Connectez vos fournisseurs d'IA dans Arlopass (Ollama, Claude, OpenAI, Gemini, Bedrock sont indiqués dans la source). Les identifiants sont chiffrés dans un coffre local sur votre appareil.
3. Autorisez l'accès pour une application web spécifique : quand un site demande à utiliser l'IA, Arlopass vous invite à sélectionner les fournisseurs et modèles autorisés, puis confirme la session sécurisée.
4. Utilisez le SDK dans votre application (pour les développeurs) : installez @arlopass/web-sdk, appelez connect(), créez une session de chat, et diffusez les résultats via chat.stream(...). Votre application ne reçoit ni ne stocke les clés API.

Cas d'usage

• Accès IA contrôlé par l'utilisateur pour un site spécifique : Vous pouvez connecter puis limiter un seul site (ex. : autoriser uniquement les modèles Claude pour ce site) tout en refusant les autres.
• Changement de modèles sans modifier le code de l'application : Si plusieurs fournisseurs/modèles sont autorisés pour un site, les utilisateurs peuvent mettre à jour les permissions pour utiliser d'autres modèles tandis que l'application continue d'appeler Arlopass.
• Flux de requêtes avec ou sans autorisation : Pour les tâches sensibles, gardez « Toujours demander l'autorisation » activé ; pour des workflows légers, activez le mode « Autopilot » pour enchaîner les appels IA sans invites par requête.
• Limitation de débit via limites quotidiennes de tokens : Définissez une « Limite quotidienne de tokens » (la source montre un exemple de 100k / 50k) par application connectée pour contrôler la consommation.
• Intégration développeur sans proxy backend : Au lieu de construire un proxy serveur pour les identifiants, un développeur peut router les requêtes IA via Arlopass avec le SDK, en gardant les identifiants sur l'appareil de l'utilisateur.

FAQ

• Arlopass expose-t-il mes clés API au navigateur ? Non. Les identifiants sont chiffrés dans un coffre local sur votre appareil et ne sont pas placés dans le navigateur.

• Un développeur doit-il gérer les clés API dans son serveur ou son code ? La source met l'accent sur le « zéro gestion de clés » et « pas de proxy backend », avec l'exemple SDK montrant que connect() et la création de session se font sans que le développeur voie ou stocke les clés API.

• Les utilisateurs peuvent-ils approuver quels fournisseurs et modèles un site peut utiliser ? Oui. Le flux de connexion inclut la sélection des fournisseurs (étape 1) et des modèles (étape 2) pour l'application demanderesse.

• Y a-t-il une option pour exiger une confirmation à chaque requête IA ? Oui. L'interface de permissions inclut « Toujours demander l'autorisation » et aussi un mode « Autopilot » pour les appels consécutifs.

• Quelles limites peut-on définir pour l'usage d'une application ? La source mentionne une « Limite quotidienne de tokens » et montre des exemples de valeurs de limites de tokens dans l'interface de permissions de l'application.

Alternatives

• Intégrations directes des API des fournisseurs dans votre appli web : Vous pouvez appeler les fournisseurs de modèles directement depuis votre serveur, mais vous devez généralement gérer les clés API et le routage vous-même au lieu de vous appuyer sur un coffre-fort de credentials côté utilisateur et des approbations par appli.
• Services proxy côté serveur pour les LLM : Une autre approche consiste à créer un backend qui stocke les credentials et transmet les requêtes. Cela diffère d’Arlopass en déplaçant la gestion des clés vers votre infrastructure plutôt que vers l’appareil de l’utilisateur.
• Appels de modèles côté client avec clés gérées par l’utilisateur : Certaines configurations exigent que les utilisateurs collent les clés API dans le navigateur ou le client. Cela diffère de l’approche d’Arlopass qui consiste à garder les credentials dans un coffre-fort chiffré local et non dans le navigateur.