Arlopass

O que é Arlopass?

Arlopass é uma extensão de navegador e SDK para desenvolvedores gratuitos e open-source que ajuda apps web a usarem seus provedores de IA sem expor suas chaves de API ao navegador ou a um proxy de servidor. Em vez de codificar credenciais diretamente no app, o Arlopass gerencia conexões e roteamento do lado do usuário.

Com o Arlopass, os usuários podem escolher quais provedores e modelos um site específico pode acessar, aprovar solicitações de conexão e definir regras como exigir permissão para cada pedido. O objetivo é manter a seleção de modelos e o gerenciamento de credenciais sob controle do usuário.

Principais Recursos

• Extensão de navegador para acesso de IA por app: Quando um app web solicita uso de IA via Arlopass, o usuário pode aprovar ou negar a conexão e selecionar quais provedores/modelos são permitidos.
• Seleção de provedores e modelos: Usuários podem ativar/desativar provedores (ex.: Ollama, Claude, OpenAI/GPT, Gemini, Bedrock) e escolher modelos específicos que o site pode usar.
• Cofre local de credenciais (sem chaves no navegador/servidor): Credenciais de API são armazenadas em um cofre local no dispositivo, com criptografia em repouso (AES-256-GCM). A fonte afirma que as chaves nunca ficam no navegador e nunca são enviadas a um servidor.
• Fluxo de “zero gerenciamento de chaves”: Para desenvolvedores e usuários, a interface foca em aprovar acesso e escolher modelos, sem gerenciar chaves no código do app.
• SDK para desenvolvedores com integração em ~10 linhas: O exemplo usa connect() e session.createChat() com chat.stream(...) para transmitir saída via iterador assíncrono, enquanto o Arlopass do usuário gerencia autenticação e roteamento.
• Regras e limites de permissão por app: A interface suporta opções como “Sempre pedir permissão”, modo “Autopilot” para chamadas consecutivas e configuração de “Limite diário de tokens”.

Como Usar o Arlopass

1. Instale a extensão do Chrome na Chrome Web Store.
2. Conecte seus provedores de IA no Arlopass (Ollama, Claude, OpenAI, Gemini, Bedrock são mostrados na fonte). As credenciais são criptografadas em um cofre local no seu dispositivo.
3. Permita acesso para um app web específico: Quando um site solicita uso de IA, o Arlopass pede para selecionar provedores e modelos permitidos, confirmando a sessão segura.
4. Use o SDK no seu app (para desenvolvedores): Instale @arlopass/web-sdk, chame connect(), crie uma sessão de chat e transmita resultados de chat.stream(...). Seu app não recebe ou armazena chaves de API.

Casos de Uso

• Acesso de IA controlado pelo usuário para um site específico: Você pode conectar e limitar um único site (ex.: permitindo apenas modelos Claude para esse site) enquanto nega outros.
• Troca entre modelos sem alterar o código do app: Se múltiplos provedores/modelos forem permitidos para um site, usuários podem atualizar permissões para usar modelos diferentes enquanto o app continua chamando o Arlopass.
• Fluxos de solicitação com ou sem permissão: Para tarefas sensíveis, mantenha “Sempre pedir permissão” ativado; para fluxos leves, ative o modo “Autopilot” para chamadas consecutivas de IA sem prompts por pedido.
• Limitação de taxa via limites diários de tokens: Defina um “Limite diário de tokens” (a fonte mostra exemplo de 100k / 50k) por app conectado para controlar o consumo.
• Integração de desenvolvedor sem proxy de backend: Em vez de criar um proxy de credenciais no servidor, o desenvolvedor roteia pedidos de IA pelo Arlopass via SDK, mantendo credenciais do usuário no dispositivo.

Perguntas Frequentes

• O Arlopass expõe minhas chaves de API ao navegador? Não. A fonte afirma que as credenciais são criptografadas em um cofre local no seu dispositivo e não ficam no navegador.

• Um desenvolvedor precisa gerenciar chaves de API no servidor ou código? A fonte enfatiza “zero gerenciamento de chaves” e “sem proxy de backend”, com o exemplo de SDK mostrando que connect() e criação de sessão ocorrem sem o desenvolvedor ver ou armazenar chaves de API.

• Usuários podem aprovar quais provedores e modelos um site pode usar? Sim. O fluxo de conexão inclui seleção de provedores (etapa 1) e modelos (etapa 2) para o app solicitante.

• Há opção para exigir confirmação a cada pedido de IA? Sim. A interface de permissões inclui “Sempre pedir permissão” e também modo “Autopilot” para chamadas consecutivas.

• Quais limites podem ser definidos para o uso de um app? A fonte menciona “Limite diário de tokens” e mostra valores de exemplo na interface de permissões do app.

Alternativas

• Integrações diretas de APIs de provedores no seu app web: Você pode chamar provedores de modelos diretamente do seu servidor, mas geralmente precisa gerenciar chaves de API e roteamento por conta própria, em vez de usar um cofre de credenciais no lado do usuário e aprovações por app.
• Serviços de proxy no servidor para LLMs: Outra abordagem é criar um backend que armazena credenciais e encaminha requisições. Isso difere do Arlopass ao transferir o gerenciamento de chaves para sua infraestrutura em vez do dispositivo do usuário.
• Chamadas de modelo no cliente com chaves gerenciadas pelo usuário: Algumas configurações exigem que usuários colem chaves de API no navegador ou cliente. Isso difere da abordagem do Arlopass de manter credenciais em um cofre criptografado local e não no navegador.