Saltar al contenido principal

Seguridad

Nunca exponga claves API en código del lado del cliente, repositorios públicos o registros de aplicación.
  • Almacene las claves API en un gestor de secretos — Use AWS Secrets Manager, HashiCorp Vault o la solución de secretos de su plataforma. Evite archivos .env en producción.
  • Rote las claves cada 90 días — Establezca un recordatorio recurrente. Consulte Claves API para instrucciones de rotación.
  • Use claves separadas por entorno — Nunca comparta claves entre desarrollo, staging y producción.
  • Habilite la lista de IPs permitidas — En los planes Growth y Enterprise, restrinja el acceso a la API a IPs de servidor conocidas.
  • Use sandbox para pruebas — Nunca pruebe con claves de producción o fondos reales.

Configuración de políticas

Comience con las políticas más restrictivas posibles y relájelas gradualmente a medida que gane confianza en el comportamiento de su agente.

Políticas iniciales recomendadas

await aw.policies.update("agent_abc123", {
  // Start with low limits
  maxTransactionAmount: "100",
  dailyLimit: "1000",
  monthlyLimit: "10000",

  // Whitelist trusted addresses only
  allowedAddresses: ["0xTrustedVendor1", "0xTrustedVendor2"],

  // Restrict to stablecoins
  allowedTokens: ["USDC"],

  // Prevent runaway loops
  velocityLimit: {
    maxCount: 50,
    windowSeconds: 3600,
  },

  // Human review for larger amounts
  requireHumanApproval: true,
  humanApprovalThreshold: "500",
});

Consejos de políticas

  • Use allowedAddresses — La lista blanca es más segura que la lista negra.
  • Establezca límites de velocidad — Evite que los agentes entren en bucles infinitos de transacciones.
  • Habilite la aprobación humana — Para montos por encima de un umbral significativo.
  • Revise semanalmente — Ajuste las políticas a medida que los patrones de comportamiento de los agentes se vuelvan claros.
  • Use plantillas — Cree plantillas reutilizables para configuraciones comunes.

Monitoreo

Suscríbase a eventos clave

await aw.webhooks.create({
  url: "https://your-app.com/webhooks",
  events: [
    "payment.completed",
    "payment.failed",
    "policy.violated",
    "agent.frozen",
  ],
});

Qué monitorear

MétricaPor qué
Violaciones de políticasIndica agentes mal configurados o comportamiento inesperado
Transacciones fallidasPuede indicar fondos insuficientes o problemas de cadena
Eventos de congelamientoActivados por detección de anomalías o acción manual
Gasto diario por agenteDetecte excesos de presupuesto tempranamente
Tasas de error de APIDetecte problemas de integración
Fallos de entrega de webhooksAsegúrese de que su manejador esté saludable

Registros de auditoría

Revise los registros de auditoría regularmente para detectar actividad inesperada: 
curl -X GET "https://api.agentwallex.com/api/v1/audit-logs?page_num=1&page_size=50" \
  -H "X-API-Key: awx_your_api_key"

Lista de verificación de preparación para producción

Use esta lista de verificación antes de entrar en producción:
  • Claves API — Claves de producción creadas y almacenadas en un gestor de secretos
  • Entorno — SDK inicializado con environment: "production"
  • Políticas configuradas — Límites de gasto por agente, listas blancas de direcciones y controles de velocidad
  • Aprobación humana — Habilitada para transacciones de alto valor con umbrales apropiados
  • Webhooks registrados — Manejadores desplegados para payment.completed, payment.failed y policy.violated
  • Firmas de webhook verificadas — El manejador valida X-AgentWallex-Signature en cada entrega
  • Manejo de errores — Errores del SDK capturados y registrados con lógica de reintentos para fallas transitorias
  • Monitoreo — Alertas configuradas para violaciones de políticas, transacciones fallidas y eventos de congelamiento
  • Acceso a registros de auditoría — Los miembros del equipo pueden ver los registros de auditoría en el panel
  • Procedimientos de emergencia — Documentado cómo congelar un agente y quién tiene autoridad
  • Calendario de rotación de claves — Recordatorio de calendario configurado para rotación de claves cada 90 días
  • Pruebas en sandbox — Todos los flujos probados de extremo a extremo en testnet antes de cambiar a producción
  • Fondeo de billeteras — Billeteras de producción fondeadas con saldo suficiente para el volumen de transacciones esperado
  • Límites de tasa comprendidos — La aplicación maneja respuestas 429 con retroceso exponencial
El equipo de AgentWallex está disponible para revisar su integración antes de que entre en producción. Contacte a support@agentwallex.com para una revisión previa al lanzamiento.