Arlopass

Arlopass 是什麼？

Arlopass 是免費開源的瀏覽器外掛與開發 SDK，幫助網頁應用使用您的 AI 提供商，而無需將 API 金鑰暴露給瀏覽器或伺服器代理。Arlopass 在使用者端處理提供商連線與路由，而非將憑證硬編碼至應用程式中。

透過 Arlopass，使用者可選擇特定網站允許存取哪些 AI 提供商與模型、批准連線請求，並設定規則，例如每個請求是否需許可。目標是讓模型選擇與憑證處理由使用者掌控。

主要功能

• 每應用 AI 存取的瀏覽器外掛：當網頁應用透過 Arlopass 請求 AI 使用時，使用者可批准或拒絕連線，並選擇允許的提供商/模型。
• 提供商與模型選擇：使用者可切換提供商（例如 Ollama、Claude、OpenAI/GPT、Gemini、Bedrock），並選擇網站可使用的特定模型。
• 本地憑證儲存庫（金鑰不在瀏覽器/伺服器）：API 憑證儲存於裝置上的本地儲存庫，靜態加密（AES-256-GCM）。來源指出金鑰永不置入瀏覽器，且永不傳送至伺服器。
• 「零金鑰管理」工作流程：對開發者與使用者，介面著重批准存取與選擇模型，而非在應用程式程式碼中管理金鑰。
• 開發 SDK，約 10 行整合：提供的範例使用 connect() 與 session.createChat() 搭配 chat.stream(...)，透過非同步迭代器串流輸出，而使用者的 Arlopass 處理提供商認證與路由。
• 每應用許可規則與限制：UI 支援「總是詢問許可」、「連續呼叫的自動駕駛模式」以及「每日 token 限制」等選項。

如何使用 Arlopass

1. 從 Chrome 線上應用程式商店安裝 Chrome 外掛。
2. 在 Arlopass 中連線您的 AI 提供商（來源顯示 Ollama、Claude、OpenAI、Gemini、Bedrock）。憑證加密儲存於您的裝置本地儲存庫。
3. 允許特定網頁應用存取：當網站請求 AI 使用時，Arlopass 提示您選擇允許的提供商與模型，然後確認安全工作階段。
4. 在應用中使用 SDK（給開發者）：安裝 @arlopass/web-sdk，呼叫 connect()、建立聊天工作階段，並從 chat.stream(...) 串流結果。您的應用不會接收或儲存 API 金鑰。

使用情境

• 特定網站的使用者控制 AI 存取：您可連線後限制單一網站（例如僅允許該網站使用 Claude 模型），同時拒絕其他網站。
• 無需變更應用程式碼即可切換模型：若網站允許多個提供商/模型，使用者可更新許可以使用不同模型，而應用持續呼叫 Arlopass。
• 許可 vs. 自動化請求流程：高敏感任務保持「總是詢問許可」啟用；輕量工作流程啟用「自動駕駛模式」，無需逐請求提示即可執行連續 AI 呼叫。
• 透過每日 token 限制控管速率：為每個連線應用設定「每日 token 限制」（來源顯示 100k / 50k 範例），以限制消耗。
• 開發者無需後端代理整合：開發者可使用 SDK 透過 Arlopass 路由 AI 請求，而非建置伺服器端憑證代理，將使用者憑證保留在裝置上。

常見問題

• Arlopass 會將我的 API 金鑰暴露給瀏覽器嗎？ 不會。來源指出憑證加密儲存於您的裝置本地儲存庫，且不會置入瀏覽器。

• 開發者需要在伺服器或程式碼中管理 API 金鑰嗎？ 來源強調「零金鑰管理」與「無後端代理」，SDK 範例顯示 connect() 與工作階段建立無需開發者查看或儲存 API 金鑰。

• 使用者能批准網站可使用的提供商與模型嗎？ 可以。連線流程包含為請求應用選擇提供商（步驟 1）與模型（步驟 2）。

• 有每個 AI 請求需確認的選項嗎？ 有。許可 UI 包含「總是詢問許可」，以及連續呼叫的「自動駕駛模式」。

• 能為應用使用量設定哪些限制？ 來源提及「每日 token 限制」，並在應用許可 UI 顯示範例 token 限制值。

替代方案

• 網頁應用直接整合提供商 API：你可以從伺服器直接呼叫模型提供商，但通常需要自行處理 API 金鑰與路由，而不是依賴使用者端的憑證儲存庫與逐應用批准。
• LLM 的伺服器端代理服務：另一種方式是建置後端儲存憑證並轉發請求。這與 Arlopass 不同，因為金鑰管理移至你的基礎設施而非使用者裝置。
• 使用者管理金鑰的客戶端模型呼叫：有些設定要求使用者將 API 金鑰貼入瀏覽器或客戶端。這與 Arlopass 所述方式不同，後者將憑證保存在本機加密儲存庫而非瀏覽器中。