メインコンテンツへスキップ

セキュリティ

クライアントサイドのコード、公開リポジトリ、またはアプリケーションログにAPIキーを公開しないでください。
  • APIキーをシークレットマネージャーに保存する — AWS Secrets Manager、HashiCorp Vault、またはプラットフォームのシークレットソリューションを使用してください。本番環境では.envファイルを避けてください。
  • 90日ごとにキーをローテーションする — 定期的なリマインダーを設定してください。ローテーション手順についてはAPIキーを参照してください。
  • 環境ごとに別々のキーを使用する — 開発、ステージング、本番でキーを共有しないでください。
  • IP許可リストを有効にする — GrowthおよびEnterpriseプランで、既知のサーバーIPへのAPIアクセスを制限してください。
  • テストにはサンドボックスを使用する — 本番キーや実際の資金でテストしないでください。

ポリシー設定

可能な限り制限の厳しいポリシーから開始し、エージェントの動作に自信がつくにつれて徐々に緩和してください。

推奨される初期ポリシー

await aw.policies.update("agent_abc123", {
  // Start with low limits
  maxTransactionAmount: "100",
  dailyLimit: "1000",
  monthlyLimit: "10000",

  // Whitelist trusted addresses only
  allowedAddresses: ["0xTrustedVendor1", "0xTrustedVendor2"],

  // Restrict to stablecoins
  allowedTokens: ["USDC"],

  // Prevent runaway loops
  velocityLimit: {
    maxCount: 50,
    windowSeconds: 3600,
  },

  // Human review for larger amounts
  requireHumanApproval: true,
  humanApprovalThreshold: "500",
});

ポリシーのヒント

  • allowedAddressesを使用する — ホワイトリストはブラックリストよりも安全です。
  • 速度制限を設定する — エージェントが無限トランザクションループに入るのを防止します。
  • 人間承認を有効にする — 意味のあるしきい値以上の金額に対して。
  • 毎週レビューする — エージェントの動作パターンが明確になるにつれてポリシーを調整します。
  • テンプレートを使用する — 一般的な設定用の再利用可能なテンプレートを作成します。

モニタリング

主要なイベントを購読する

await aw.webhooks.create({
  url: "https://your-app.com/webhooks",
  events: [
    "payment.completed",
    "payment.failed",
    "policy.violated",
    "agent.frozen",
  ],
});

監視すべきもの

メトリクス理由
ポリシー違反誤設定されたエージェントや予期しない動作を示します
失敗したトランザクション資金不足やチェーンの問題を示す場合があります
凍結イベント異常検知や手動アクションによってトリガーされます
エージェントごとの日次支出予算超過を早期に発見します
APIエラー率統合の問題を検出します
Webhook配信失敗ハンドラーの健全性を確認します

監査ログ

予期しないアクティビティについて監査ログを定期的にレビューしてください: 
curl -X GET "https://api.agentwallex.com/api/v1/audit-logs?page_num=1&page_size=50" \
  -H "X-API-Key: awx_your_api_key"

本番稼働前チェックリスト

本番稼働前にこのチェックリストを使用してください:
  • APIキー — 本番キーが作成され、シークレットマネージャーに保存されている
  • 環境 — SDKがenvironment: "production"で初期化されている
  • ポリシーの設定 — エージェントごとの支出制限、アドレスホワイトリスト、速度制御
  • 人間承認 — 適切なしきい値で高額トランザクションに有効化されている
  • Webhookの登録payment.completedpayment.failedpolicy.violatedのハンドラーがデプロイされている
  • Webhook署名の検証 — ハンドラーがすべての配信でX-AgentWallex-Signatureを検証している
  • エラーハンドリング — SDKエラーがキャッチされ、一時的な障害に対するリトライロジックとともにログに記録されている
  • モニタリング — ポリシー違反、失敗したトランザクション、凍結イベントのアラートが設定されている
  • 監査ログアクセス — チームメンバーがダッシュボードで監査ログを閲覧できる
  • 緊急手順 — エージェントの凍結方法と権限者が文書化されている
  • キーローテーションスケジュール — 90日ごとのキーローテーションのカレンダーリマインダーが設定されている
  • サンドボックステスト — 本番に切り替える前にテストネットですべてのフローがエンドツーエンドでテストされている
  • ウォレットの資金 — 予想されるトランザクション量に十分な残高で本番ウォレットに資金が入っている
  • レート制限の理解 — アプリケーションが指数バックオフで429レスポンスを処理している
AgentWallexチームは本番稼働前に統合のレビューを行う用意があります。事前ローンチレビューについてはsupport@agentwallex.comにお問い合わせください。