ମୁଖ୍ୟ ବିଷୟବସ୍ତୁକୁ ଛାଡ଼ନ୍ତୁ
ଶିଖନ୍ତୁଗାଇଡ୍ଏଜେଣ୍ଟ ଖର୍ଚ୍ଚ ନିୟନ୍ତ୍ରଣ
ଗାଇଡ୍

ପ୍ରମ୍ପ୍ଟ ଇଞ୍ଜେକ୍ସନ୍ ଅତିକ୍ରମ କରିବାକୁ ଏଜେଣ୍ଟ ଖର୍ଚ୍ଚ ନିୟନ୍ତ୍ରଣ ସେଟ୍ କରନ୍ତୁ।

8 ମିନିଟ୍
ସଂକ୍ଷିପ୍ତ ଉତ୍ତର

Dashboard ରେ ଗୋଟିଏ spend permission ସେଟ୍ କରନ୍ତୁ - per period allowance ସହ per-transaction cap - ଏବଂ backend ଏହାକୁ ପ୍ରତ୍ୟେକ payment ଉପରେ enforce କରେ। ଏହା backend ରେ ରହୁଛି ଏବଂ API read-only ଥିବାରୁ, agent ର planner କୁ hijack କରୁଥିବା prompt injection ମଧ୍ୟ ଲିମିଟ୍ ବଢ଼ାଇପାରେ ନାହିଁ। ଆପଣଙ୍କ code permission କୁ API ମାଧ୍ୟମରେ read କରେ ଯାହାଦ୍ୱାରା ଏହାକୁ ଦେଖାଇବା କିମ୍ବା ତାହା ଅନୁଯାୟୀ ଯୋଜନା କରିବା ସମ୍ଭବ ହୁଏ।

ପୂର୍ବାବଶ୍ୟକତା

ଆପଣ ଆରମ୍ଭ କରିବା ପୂର୍ବରୁ।

  • ଏକ ଅବସ୍ଥିତ agent (ଦେଖନ୍ତୁ add-payments-to-agent guide)।
  • ଏହି ଏଜେଣ୍ଟକୁ ମାଲିକୀ କରୁଥିବା କାର୍ଯ୍ୟସ୍ଥଳ ପାଇଁ ଡ୍ୟାସ୍‌ବୋର୍ଡ ଆକ୍ସେସ୍ - ଅନୁମତିଗୁଡିକ ସେଠାରେ ସେଟ୍ କରାଯାଇଛି, API ଦ୍ୱାରା ନୁହେଁ।
  • ଆଶାକରା ଦିନିକିଆ spend ର ଏକ ମୋଟାମୋଟି ଧାରଣା - allowance ସାଧାରଣ usage ର 2-3x ହେବା ଉଚିତ, 100x ନୁହେଁ, ଯାହାଦ୍ୱାରା ଏହା ପ୍ରକୃତରେ load-bearing ରହେ।
  • permission ପଢ଼ିବା ପାଇଁ ଏକ API key (ଏହି ଗାଇଡ ପାଇଁ ଏକ sk_test_ key ଠିକ୍ ଅଟେ)।
  • ଏଜେଣ୍ଟ ଖର୍ଚ୍ଚ ନୀତି ଧାରଣା ସହିତ ପରିଚିତ ହେବା - ଏହି ଗାଇଡ୍ ଏହାର କାର୍ଯ୍ୟକ୍ଷେତ୍ର ସହଯୋଗୀ।
ପଦକ୍ଷେପ 1 ର 4

Dashboard ରେ permission ସେଟ୍ କରନ୍ତୁ।

Blockchain0x ଡ୍ୟାସ୍‌ବୋର୍ଡରେ ଏଜେଣ୍ଟ୍ କୁ ଖୋଲନ୍ତୁ ଏବଂ ଦୁଇଟି ସଂଖ୍ୟା ସେଟ୍ କରନ୍ତୁ: ଗୋଟିଏ ସମୟ ଅନୁସାରେ ଏକ ଅନୁମତି (ଗୋଟିଏ ଦିନ, ଗୋଟିଏ ସପ୍ତାହ, କିମ୍ବା 30 ଦିନ) ଓ ଗୋଟିଏ ପର-ଲେନଦେନ କ୍ୟାପ୍। ଅନୁମତି ସମୟ ଅବଧିରେ ସର୍ବାଧିକ କେସ୍ କୁ ନିୟନ୍ତ୍ରଣ କରେ; ପର-ଲେନଦେନ କ୍ୟାପ୍ ଗୋଟିଏ ଅସାଧାରଣ ଅନୁରୋଧକୁ ଏକ ସମୟରେ ସମସ୍ତ ଖର୍ଚ୍ଚ କରିବାରୁ ରୋକେ। ଏହା ଏକ ଡ୍ୟାସ୍‌ବୋର୍ଡ କାର୍ଯ୍ୟ ଅନୁଷ୍ଠାନ କରାଯାଇଛି - ଏହା ଏକ ମାନବ-ସେଟ୍ ସୀମା ଯାହା ଏଜେଣ୍ଟ୍ ଭିତରେ ଚାଲିଥାଏ।

Amounts are USDC base units (6 decimals). An allowance_wei of "20000000" is 20 USDC; a per_tx_wei of "2000000" is 2 USDC. The period is a period_seconds value: 86400 for a day, 604800 for a week, 2592000 for 30 days.

ପଦକ୍ଷେପ 2 ର 4

API ମାଧ୍ୟମରେ permission ପଢ଼ନ୍ତୁ।

ଆପଣଙ୍କ code live permission କୁ fetch କରି UI ରେ ଦେଖାଇପାରେ କିମ୍ବା payment କରିବା ପୂର୍ବରୁ agent କେତେ room ବାକି ଅଛି ତାହା ଯାଞ୍ଚ କରିବାକୁ ଦେଇପାରେ। route read-only - mutate endpoint କିଛି ନାହିଁ, ଏହି କାରଣରୁ agent ର key ନିଜ limit କୁ ବଢ଼ାଇ ପାରେ ନାହିଁ।

ପଢ଼ନ୍ତୁ (curl)
curl https://api.blockchain0x.com/v1/agents/agt_123/spend-permissions \
  -H "Authorization: Bearer $BLOCKCHAIN0X_API_KEY"
ପ୍ରତିକ୍ରିୟା
{
  "allowance_wei": "20000000",
  "per_tx_wei": "2000000",
  "period_seconds": 86400,
  "start_at": "2026-05-15T00:00:00Z",
  "end_at": null,
  "revoked_at": null
}
ପଦକ୍ଷେପ 3 ର 4

ସମୟରେ ଏହାକୁ ବାନ୍ଧନ କର, କିମ୍ବା ଏହାକୁ ରଦ୍ଦ କର।

ଦୁଇଟି କ୍ଷେତ୍ର ଅନୁମତିକୁ ଏକ ସମୟ-ବାଧିତ ନିୟନ୍ତ୍ରଣରେ ପରିଣତ କରେ। start_at ଏବଂ end_at ସେହି ଜନ୍ୟ ଜାନ୍ଚ କରନ୍ତୁ ଯେଉଁଥିରେ ଏହା ଜୀବନ୍ତ, ତେଣୁ ଆପଣ ଏକ ନିର୍ଦ୍ଧାରିତ କାମ ପାଇଁ ପୂର୍ବ-ସ୍ଥାନୀୟ ବଜେଟ୍ ରଖିପାରିବେ କିମ୍ବା ଏକକୁ ତାହାର ନିଜରେ ଅବସ୍ଥାନ କରିବାକୁ ଦିଅନ୍ତୁ; ଜାନ୍ଚର ବାହାର ଏହା କିଛି ଅନୁମତି ଦେଇନାହିଁ। revoked_at ହେଉଛି କିଲ୍ ସ୍ୱିଚ୍: ଡ୍ୟାସ୍ବୋର୍ଡରୁ ରିଭୋକ୍ କରନ୍ତୁ ଏବଂ ଅନୁମତି ପରେ ମୂଲ୍ୟ ଶୂନ୍ୟକୁ ହ୍ରାସ ପାଇଁ ଯେକୌଣସି ଦେୟ ପାଇଁ।

ଏକ କଠିନ ରୋକାବାକୁ, apiKeys.revoke କିମ୍ବା apiKeys.rotate ସହିତ ଏଜେଣ୍ଟର API କୀକୁ ବିଲୋପ କରନ୍ତୁ କିମ୍ବା ଘୁରାଇବା - ଯାହା ସମ୍ପୂର୍ଣ୍ଣ ଭାବରେ ଏହି ପ୍ରମାଣପତ୍ରକୁ କଟ୍ କରେ, କେବଳ ଖର୍ଚ୍ଚକୁ ନୁହେଁ। ଅନୁମତି ବିଲୋପ କରିବା ହେଉଛି ସର୍ଜିକାଲ୍ ଚଳାଚଳ; କୀ ବିଲୋପ କରିବା ହେଉଛି କିଲ୍ ସ୍ୱିଚ୍।

ପଦକ୍ଷେପ 4 ର 4

ସୀମାକୁ ହିଟ୍ କରୁଥିବା ଭୁଗତାନକୁ ହ୍ୟାଣ୍ଡଲ୍ କରନ୍ତୁ।

ସକ୍ରିୟ permission କୁ ପେମେଣ୍ଟ ଅତିକ୍ରମ କରିବାକୁ ଯାଇଲେ, backend chain କୁ କିଛି ଛୁଆ ପୂର୍ବରୁ ଏହାକୁ ଅସ୍ୱୀକାର କରେ - କୌଣସି funds move ହୁଏନା। ଆପଣଙ୍କ payments.create call error ଫେରାଏ; ଅନ୍ୟ failed call ପରି ଏହାକୁ handle କରନ୍ତୁ, ଆପଣଙ୍କ operator କୁ surface କରନ୍ତୁ, ଏବଂ ସେଇ ଦିଵାଳକୁ blind retry କରନ୍ତୁ ନାହିଁ।

କୌଣସି agent କ'ଣ attempt କଲା ଦେଖିବା ପାଇଁ, dashboard ର activity log ଦେଖନ୍ତୁ ଏବଂ real movements କୁ transactions.get ସହିତ reconcile କରନ୍ତୁ। rejected attempts ର ହଠାତ୍ ବୃଦ୍ଧି ହେଉଛି ଆପଣଙ୍କ early-warning signal: କିମ୍ବା ଭୁଲ allowance config ହୋଇଛି, କିମ୍ବା runaway loop, କିମ୍ବା injection probe। failed calls ର spike ଉପରେ ଯେଭଳି alert କରନ୍ତି ସେହିଭଳି ଏଠାରେ ମଧ୍ୟ alert କରନ୍ତୁ।

ସାଧାରଣ ବିପଦ

ପାଞ୍ଚଟି ଭୁଲ ଯାହା ନିୟନ୍ତ୍ରଣକୁ ବିଫଳ କରେ।

ବ୍ୟୟ କ୍ୟାପ୍ କୁ ବ୍ୟାକେଣ୍ଡ୍ ବଦଳରେ ଏଜେଣ୍ଟ୍ କୋଡ୍ ମଧ୍ୟରେ ରଖିବା

Agent ର planner କିମ୍ବା system prompt ଭିତରେ spend rules security boundary ନୁହେଁ। Planner କୁ override କରୁଥିବା prompt-injection attack cap କୁ ମଧ୍ୟ override କରେ। Spend permission ର ପ୍ରଧାନ ଉଦ୍ଦେଶ୍ୟ ହେଉଛି ଏହା agent ର manipulate କରିପାରିବା scope ର ବାହାରେ ଥାଏ - backend ରେ, dashboard ରେ ସେଟ୍ କରାଯାଇ - ଯାହାଦ୍ୱାରା agent ଏହାକୁ ବଦଳାଇପାରେ ନାହିଁ। ସେଠି ସେଟ୍ କରନ୍ତୁ, 'agent କୁ $X ରୁ ଅଧିକ spend ନକରିବାକୁ କୁହନ୍ତୁ' ଭଳି ନୁହେଁ।

ଏଜେଣ୍ଟର API କୀ ସୀମାକୁ ବିସ୍ତାର କରିବାକୁ ଆଶା କରୁଛି

Spend permissions ପାଇଁ API read-only ଅଟେ: allowance ବଢ଼ାଇବାକୁ କୌଣସି endpoint ନାହିଁ ଏବଂ କୌଣସି SDK method ନାହିଁ। ଏହା ଉଦ୍ଦେଶ୍ୟପୂର୍ବକ। ଯଦି କୌଣସି compromised କିମ୍ବା injected agent ନିଜ ପାଖରେ ଥିବା key ସହ mutate endpoint କୁ call କରିପାରେ, ତେବେ ଏହି control ର କୌଣସି ମୂଲ୍ୟ ରହିବ ନାହିଁ। Limit ବଦଳାଇବା ପାଇଁ ଆପଣ dashboard ବ୍ୟବହାର କରନ୍ତି, ଯେଉଁଠାରେ ପରିବର୍ତ୍ତନ ଗୋଟିଏ audit trail ସହ human action ଅଟେ।

Allowance କୁ ଏତେ ଉଚ୍ଚ ସେଟ୍ କରିବା, ଯେଉଁଥିରେ ଏହା କେବେ ମଧ୍ୟ ସୀମା ହୋଇନଥାଏ

ଏକ permission କେବଳ ତେବେ ଆପଣଙ୍କୁ ସୁରକ୍ଷା ଦେଉଛି ଯଦି ଏହା load-bearing ହୋଇଥାଏ। ସାଧାରଣ usage ର 100x ରେ ସେଟ୍ କରାଯାଇଥିବା allowance, runaway loop କୁ ସେତେବେଳେ ପର୍ଯ୍ୟନ୍ତ ରୋକିବ ନାହିଁ ଯେପର୍ଯ୍ୟନ୍ତ ଏହା ଆପଣ ଚାହୁଁଥିବା ଠାରୁ ବହୁତ ଅଧିକ ଖର୍ଚ୍ଚ କରିନଥାଏ। allowance ଏବଂ per-transaction cap କୁ ଆନୁମାନିକ 2-3x expected usage ରେ ଧରନ୍ତୁ, ତାପରେ real traffic ଦେଖାଇଲେ ଆବଶ୍ୟକ ଅନୁସାରେ ଧୀରେଧୀରେ ବଢ଼ାନ୍ତୁ।

ପ୍ରତି-ଲେନଦେନ କ୍ୟାପ୍କୁ ଭୁଲିବା

allowance_wei ସମଗ୍ର period ର ସର୍ବାଧିକ ଖରାପ ପରିସ୍ଥିତିକୁ ସୀମିତ କରେ; per_tx_wei ଯେକୌଣସି ଗୋଟିଏ payment କୁ ସୀମିତ କରେ। ସେମାନେ ଭିନ୍ନ କାମ କରନ୍ତି। per-transaction cap ବିନା ଏକ ଉଦାର period allowance ଥିଲେ ମଧ୍ୟ, ଗୋଟିଏ anomalous request - buggy retry କିମ୍ବା maliciously-quoted price - ଏକାଥରେ ବହୁତ ବଡ଼ ରାଶି ଚଳାଇପାରେ। ଦୁହିଁଟି ସେଟ୍ କରନ୍ତୁ।

କୌଣସି fast kill switch rehearse କରାଯାଇନି

ରାତି 2ଟାରେ କିଛି ଭୁଲ୍ ଲାଗିଲେ, ଆପଣ ପୂର୍ବରୁ ଅଭ୍ୟାସ କରିଥିବା ଏକ କାର୍ଯ୍ୟ ଚାହିଁବେ। ଦୁଇଟି ଅଛି: dashboard ରେ permission revoke କରନ୍ତୁ (revoked_at ସେଟ୍ କରେ, allowance କୁ zero କରେ), କିମ୍ବା apiKeys.revoke / apiKeys.rotate ସହିତ agent ର API key revoke/rotate କରନ୍ତୁ (credential କୁ ସମ୍ପୂର୍ଣ୍ଣ କାଟିଦିଏ)। କେଉଁଟି ବେଶି ଉପଯୁକ୍ତ ତାହା ଜାଣନ୍ତୁ, ଏବଂ ଏହାକୁ ଶୀଘ୍ର କରିପାରିବେ ବୋଲି ନିଶ୍ଚିତ ରୁହନ୍ତୁ।

ପରବର୍ତ୍ତୀ ପଦକ୍ଷେପଗୁଡିକ

ଅନୁମତି ଥିବା ପରେ।

permission enforced ଥିବାବେଳେ, ସବୁଠୁ ଲାଭଦାୟକ follow-up ହେଲା dependable webhook handling (ଯାହାଦ୍ୱାରା payment events ସତରେ ଆପଣଙ୍କ handler କୁ ପହଞ୍ଚେ), identity verification (ଯାହାଦ୍ୱାରା counterparties agent ର profile ଉପରେ trust କରନ୍ତି), ଏବଂ launch-ପୂର୍ବ security review (ଯାହାଦ୍ୱାରା ଆପଣ ଆଉ ଗୋଟିଏ ଦ୍ୱାର ଖୋଲା ରଖିନାହାନ୍ତି)।

developer ମାନେ ସବୁଠାରୁ ଅଧିକ ପଚାରୁଥିବା webhook pattern

15 ମିନିଟ୍

GitHub ଏବଂ ଡୋମେନ୍ ଯାଞ୍ଚ ବ୍ୟାଜ୍ ଉପାର୍ଜନ କରନ୍ତୁ

8 ମିନିଟ୍

ଜୀବନରେ ଯିବା ପୂର୍ବରୁ ଆପଣଙ୍କର ଏଜେଣ୍ଟ ୱାଲେଟ୍ ସୁରକ୍ଷିତ କରନ୍ତୁ

15 ମିନିଟ୍

docs.blockchain0x.com ରେ ପୂର୍ଣ୍ଣ ସନ୍ଦର୍ଭ। ଉତ୍ପାଦ ସତହ: Spending controls.

ଶେଷ ସମୀକ୍ଷା: 2026-05-15। CC BY 4.0 ଅନୁସାରେ ପ୍ରକାଶିତ।

ଆପଣଙ୍କର ଏଜେଣ୍ଟକୁ ଗାର୍ଡରେଲ୍ ଦିଅନ୍ତୁ ଯାହା ପ୍ରମ୍ପ୍ଟ ଉଠାଇପାରିବ ନାହିଁ।

ପ୍ରତି ଅବଧି allowance ଏବଂ per-transaction cap, dashboard ରେ set ହୋଇ backend ଦ୍ୱାରା enforced। ଆରମ୍ଭ କରିବା ମୁକ୍ତ।