Passer au contenu principal

Securite

N’exposez jamais les cles API dans du code cote client, des depots publics ou des journaux d’application.
  • Stockez les cles API dans un gestionnaire de secrets — Utilisez AWS Secrets Manager, HashiCorp Vault ou la solution de secrets de votre plateforme. Evitez les fichiers .env en production.
  • Effectuez une rotation des cles tous les 90 jours — Definissez un rappel recurrent. Consultez Cles API pour les instructions de rotation.
  • Utilisez des cles separees par environnement — Ne partagez jamais les cles entre developpement, staging et production.
  • Activez la liste blanche d’IP — Sur les plans Growth et Enterprise, restreignez l’acces API aux IP de serveur connues.
  • Utilisez le sandbox pour les tests — Ne testez jamais avec des cles de production ou des fonds reels.

Configuration des politiques

Commencez avec les politiques les plus restrictives possibles et assouplissez-les progressivement a mesure que vous gagnez confiance dans le comportement de votre agent.

Politiques de demarrage recommandees

await aw.policies.update("agent_abc123", {
  // Start with low limits
  maxTransactionAmount: "100",
  dailyLimit: "1000",
  monthlyLimit: "10000",

  // Whitelist trusted addresses only
  allowedAddresses: ["0xTrustedVendor1", "0xTrustedVendor2"],

  // Restrict to stablecoins
  allowedTokens: ["USDC"],

  // Prevent runaway loops
  velocityLimit: {
    maxCount: 50,
    windowSeconds: 3600,
  },

  // Human review for larger amounts
  requireHumanApproval: true,
  humanApprovalThreshold: "500",
});

Conseils pour les politiques

  • Utilisez allowedAddresses — La liste blanche est plus securisee que la liste noire.
  • Definissez des limites de velocite — Empchez les agents d’entrer dans des boucles de transactions infinies.
  • Activez l’approbation humaine — Pour les montants au-dessus d’un seuil significatif.
  • Revisez chaque semaine — Ajustez les politiques a mesure que les schemas de comportement des agents deviennent clairs.
  • Utilisez des modeles — Creez des modeles reutilisables pour les configurations courantes.

Surveillance

Abonnez-vous aux evenements cles

await aw.webhooks.create({
  url: "https://your-app.com/webhooks",
  events: [
    "payment.completed",
    "payment.failed",
    "policy.violated",
    "agent.frozen",
  ],
});

Quoi surveiller

MetriqueRaison
Violations de politiquesIndique des agents mal configures ou un comportement inattendu
Transactions echoueesPeut indiquer des fonds insuffisants ou des problemes de chaine
Evenements de gelDeclenches par la detection d’anomalies ou une action manuelle
Depenses quotidiennes par agentDetectez les depassements de budget rapidement
Taux d’erreurs APIDetectez les problemes d’integration
Echecs de livraison de webhooksAssurez-vous que votre gestionnaire est en bonne sante

Journaux d’audit

Revisez regulierement les journaux d’audit pour detecter les activites inattendues : 
curl -X GET "https://api.agentwallex.com/api/v1/audit-logs?page_num=1&page_size=50" \
  -H "X-API-Key: awx_your_api_key"

Liste de verification de preparation a la production

Utilisez cette liste de verification avant la mise en production :
  • Cles API — Cles de production creees et stockees dans un gestionnaire de secrets
  • Environnement — SDK initialise avec environment: "production"
  • Politiques configurees — Limites de depenses par agent, listes blanches d’adresses et controles de velocite
  • Approbation humaine — Activee pour les transactions de haute valeur avec des seuils appropries
  • Webhooks enregistres — Gestionnaires deployes pour payment.completed, payment.failed et policy.violated
  • Signatures de webhooks verifiees — Le gestionnaire valide X-AgentWallex-Signature a chaque livraison
  • Gestion des erreurs — Erreurs SDK capturees et journalisees avec logique de nouvelle tentative pour les erreurs transitoires
  • Surveillance — Alertes configurees pour les violations de politiques, transactions echouees et evenements de gel
  • Acces aux journaux d’audit — Les membres de l’equipe peuvent consulter les journaux d’audit dans le tableau de bord
  • Procedures d’urgence — Documente comment geler un agent et qui a l’autorite
  • Calendrier de rotation des cles — Rappel de calendrier defini pour la rotation des cles a 90 jours
  • Tests en sandbox — Tous les flux testes de bout en bout sur le testnet avant le passage en production
  • Alimentation des portefeuilles — Portefeuilles de production alimentes avec un solde suffisant pour le volume de transactions prevu
  • Limites de debit comprises — L’application gere les reponses 429 avec un backoff exponentiel
L’equipe AgentWallex est disponible pour revoir votre integration avant la mise en production. Contactez support@agentwallex.com pour une revue pre-lancement.