Dónde se ejecuta el código, dónde se guardan las credenciales y quién aprobó qué
Antes de delegar los procesos del negocio a la IA, conviene aclarar primero estas preguntas. Esta página las responde una a una, y cada respuesta corresponde a un mecanismo ya implementado en la plataforma.
Cada línea de defensa corresponde a un mecanismo ya implementado
Cada una de las seis tarjetas se ocupa de un aspecto, y sus puntos provienen de la implementación actual del producto.
- Los pasos de código se ejecutan en un sandbox de Docker, con un contenedor nuevo en cada ejecución
- Cada lenguaje usa su propia imagen de ejecución
- La salida a la red del contenedor está controlada, con un tiempo de espera predeterminado de 30 segundos
- Las credenciales se almacenan cifradas con AES-256-GCM
- La clave de cifrado admite rotación
- Claude Pro / ChatGPT admiten el inicio de sesión por suscripción, sin necesidad de pegar la API Key
- 14 métodos de inicio de sesión con OAuth / OIDC, incluido OIDC propio
- Las API Key se emiten con 6 ámbitos de privilegio mínimo
- Disparar ejecuciones, leer resultados y responder a aprobaciones pueden usar cada uno su propia Key
- Los pasos marcados como manual_approval pausan la ejecución y notifican por tres canales: la App, el correo y la API
- Los valores del formulario de aprobación se pueden modificar directamente, por ejemplo cambiar la puja antes de aprobar
- Se rechaza automáticamente al vencer el tiempo, cuya duración es configurable
- Línea de tiempo de ejecución, log de cada paso, y uso de tokens y costo registrados una a una
- El proceso de ejecución se puede exportar como JSON / YAML
- El plan Enterprise ofrece registros de auditoría
- El número de ejecuciones concurrentes se limita por plan: 1 / 5 / 15 / 50
- El historial de ejecuciones se conserva según el plan; el plan Team, 180 días
- El uso del asistente de IA tiene un límite diario; el plan Pro, 20 usos/día
Los pasos de código en 7 lenguajes van todos al sandbox
python, javascript, typescript, bash, ruby, lua, cli: sea cual sea el lenguaje, los pasos de código en producción se ejecutan en un contenedor de Docker.
Los pasos de código son la parte más potente de un workflow y también la que más necesita límites. Tanto si el script lo genera el asistente de IA como si lo escribe usted mismo, al ejecutarse entra en el mismo sandbox.
- El contenedor se crea con la ejecución y se destruye al terminar
- Cada lenguaje tiene su propia imagen de ejecución, y la salida a la red del contenedor está controlada
- Las variables del workflow se inyectan como variables de entorno WF_VAR_*
- Tiempo de espera predeterminado de 30 segundos; los artefactos se exportan por un canal independiente y se pueden descargar en el detalle de la ejecución
# per-run sandbox profile (illustrative) container: lifecycle: ephemeral # create, run, destroy image: dedicated-per-language # 7 runtimes network: controlled-egress timeout: 30s # default env: WF_VAR_*: injected artifacts: export: artifact-channel # fetch from run detail
Configuración ilustrativa que sirve para explicar el comportamiento del sandbox; no es un archivo real del producto.
Sus credenciales se usan únicamente para las llamadas que usted configure
En la nube con BYOK, el tráfico de modelos se conecta directamente al proveedor que elija; si necesita un perímetro más estricto, despliegue toda la plataforma en su propio entorno.
Las llamadas a LLM usan sus propias claves y se envían directamente al proveedor que configure; la plataforma registra el uso de tokens y el costo una a una, y las claves se guardan cifradas con AES-256-GCM.
- Elija entre más de 15 proveedores; dentro de un mismo workflow cada Agent puede usar un modelo distinto
- Claude Pro / ChatGPT admiten la integración mediante inicio de sesión por suscripción
- Se pueden integrar Ollama / LM Studio locales, con las llamadas a los modelos en su propia máquina
El plan Enterprise despliega toda la plataforma en su propio entorno, sin que los datos salgan de su perímetro.
- Las definiciones de workflow, los registros de ejecución y las credenciales se almacenan en su propia infraestructura
- Escalado horizontal con varias instancias, con las métricas de Prometheus integradas en su monitoreo existente
- SSO y OIDC propio para conectar con su sistema de identidad
Los derechos sobre los datos convertidos en funciones del producto
Exportación, eliminación y registro de consentimiento: las tres tienen un acceso a la función dentro del producto.
Exporte los datos personales por autoservicio dentro del producto, en correspondencia con el derecho a la portabilidad.
La eliminación de la cuenta y de los datos asociados se inicia dentro del producto, en correspondencia con el derecho al olvido.
El consentimiento de cookies y las decisiones de autorización quedan registrados y son rastreables hasta el momento exacto.