Publishable Keys Llama APIs directamente desde Claude, ChatGPT, Gemini y Grok.
Claves publicables seguras para el navegador, creadas para artefactos de IA y aplicaciones frontend. Con alcance limitado. Bloqueadas por origen. Con límite de presupuesto. Sin backend, sin problemas de CORS, sin SDK.
Confianza de empresas líderes en todo el mundo
Único DMS oficial
Apps en 30 segundos — desde cualquier lienzo de IA.
Cree una aplicación de PDF a texto en Claude Artifacts, ChatGPT Canvas, Gemini o Grok. Hasta hoy, su aplicación generada por IA no podía llamar realmente a una API: CORS lo bloquea, su clave secreta sería visible y los límites de tasa pueden agotar su cuenta. Publishable Keys resuelve todo esto de una vez.
Péguelo en Claude, ChatGPT, Gemini o Grok
AI CanvasUn solo prompt que convierte cualquier lienzo de IA en una demostración SaaS real impulsada por API — no se requiere backend.
Read this API doc:
https://api.paperoffice.ai/latest/docs/llms-full.txt Build a single-file React app (Claude Artifact / ChatGPT Canvas / Gemini / Grok):
User uploads a PDF, the app calls
/job/add/paperoffice_aiocr___generate directly from the browser
and shows the extracted text. Auth: Bearer po_pk_MY_PUBLISHABLE_KEY (prompt user for the key).
Use priority=900 for sync results. Origin header is set by the browser.Un clic de preset, una clave, un pegado.
Nuestro panel incluye ajustes preestablecidos listos para usar. Elija "aidemo" — Claude, ChatGPT, Gemini y Grok están en la lista blanca, se preselecciona un paquete de alcance seguro y el presupuesto se limita a 2.000 créditos. Pegue la clave en su prompt de IA. Publique.
El modelo de seguridad empresarial de 5 puntos.
Con alcance limitado. Bloqueadas por origen. Con límite de tasa. Con límite de presupuesto. Revocables al instante. Todo el control se aplica del lado del servidor — la clave es segura para pegarla en el código fuente de cualquier lienzo de IA.
Con alcance limitado
Las claves solo pueden acceder a los grupos de endpoints que incluyes explícitamente en la lista blanca: ocr:read, llm:generate, translate:run y más. Las llamadas fuera del alcance devuelven HTTP 403.
Bloqueadas por origen
Lista de permisos por defecto: claude.ai, chatgpt.com, gemini.google.com, grok.com. Añada sus propios orígenes en cualquier momento. Las solicitudes sin un encabezado Origin coincidente devuelven HTTP 403.
Con límite de tasa
Ventana deslizante por token respaldada por PaperOffice AI Cache. Valores predeterminados: 30-120 solicitudes/min. Superarlo devuelve HTTP 429. Protege su reserva de créditos de scrapers y bucles.
Con límite de presupuesto
Límite de créditos de por vida por clave. Una vez alcanzado: HTTP 402 BUDGET_EXHAUSTED. Sin facturas sorpresa — incluso si una clave se vuelve viral en Reddit.
Revocación instantánea
Pulsa Revocar en el panel. La caché de PaperOffice AI Cache se invalida al instante. Una clave comprometida queda inutilizada en milisegundos — sin retraso de propagación.
Bloqueos codificados
Los métodos DELETE, admin, billing, webhooks y token-management están bloqueados de forma codificada para cada po_pk_ — independientemente del alcance. No se pueden desbloquear.
Tres tipos de keys — responsabilidades claras.
Claves duales (servidor/navegador) — además de un token de usuario para acceso con límite de tasa por usuario.
| Prefijo | Tipo | Caso de uso | Seguro para navegador | Ámbito predeterminado |
|---|---|---|---|---|
po_sk_ | Clave secreta | Server-to-server, full API | No | Todos los endpoints |
po_ut_ | User Token | User-scoped, tier-limited | No | Basado en nivel |
po_pk_NEW | Publishable Key | Navegador / AI Canvas (Claude, ChatGPT, Gemini, Grok) | Sí | Lista de ámbitos |
Un clic. Una clave. Un propósito.
Cada preajuste está ajustado para un caso de uso concreto: valores predeterminados seguros, ámbitos seleccionados y presupuestos realistas. Más tarde podrá afinar todo en el panel.
Permisos de solo lectura seguros por defecto para demostraciones sencillas: OCR, LLM, Traducir, Docs-Read.
ocr:readllm:generatetranslate:rundocs:read Para demostraciones de Claude Artifacts, ChatGPT Canvas, Gemini y Grok. Todo lo necesario para publicar demostraciones de IA en vivo.
ocr:readllm:generatetranslate:runimage:generatetts:runstt:runvision:analyzesearch:run Para formularios de contacto, widgets de chat y botones de reserva en el sitio web de su propia empresa.
chat:runbooking:createform:submitcontact:create Todo lo que necesitas saber.
¿En qué se diferencia po_pk_ de po_sk_?
po_sk_ (clave secreta) es para la integración de servidor a servidor: acceso completo a toda la API, nunca la pongas en el navegador. po_pk_ (Publishable Key) está diseñado para código en el navegador: alcance limitado, bloqueado por origen y con presupuesto limitado. El precio es el mismo, pero el perfil de seguridad es diferente.
¿Por qué no usar simplemente un proxy inverso desde mi propio backend?
Ese es el enfoque heredado, y significa que aún necesitas un backend. La promesa de los artefactos de IA (Claude, ChatGPT, Gemini, Grok) es una implementación sin backend. Publishable Keys hacen eso posible sin exponer su cuenta: las garantías de seguridad se aplican del lado del servidor en nuestro extremo.
¿Esto realmente funciona en Claude Artifacts a pesar de su sandbox CORS?
Sí. Desde agosto de 2024, Anthropic admite llamadas directas a la API desde el navegador. PaperOffice incluye automáticamente claude.ai en la lista blanca en cada po_pk_ creado mediante el preset AIDEMO. ChatGPT Canvas, Canvas de Gemini y Workspaces de Grok funcionan de la misma manera.
¿Qué pasa si mi po_pk_ se hace público en Reddit o GitHub?
El daño se mantiene contenido: el bloqueo de origen impide el uso en dominios externos, el límite de presupuesto detiene el gasto y los límites de velocidad ralentizan a los scrapers. Haga clic en Revocar en el panel de control: la caché de PaperOffice AI Cache se invalida al instante y la clave queda inactiva en milisegundos.
¿Puedo añadir mi propio company.com como origen permitido?
Sí. Al crear la clave, añade cualquier origen a la lista de permitidos. El ajuste preestablecido WIDGET está diseñado exactamente para esto: registra su propio dominio e inserta widgets de chat, reserva o contacto sin necesidad de backend.
¿Cómo establezco el presupuesto de créditos por clave?
No. Cada llamada a la API consume los mismos créditos de su cuenta principal, ya sea a través de po_sk_, po_ut_ o po_pk_. El límite de presupuesto de po_pk_ es una red de seguridad adicional, no un nivel de precios independiente.
¿Se factura po_pk_ de forma diferente a po_sk_?
No. Cada la llamada a la API consume los mismos créditos de su cuenta principal, ya sea a través de po_sk_, po_ut_ o po_pk_. El límite de presupuesto de po_pk_ es una red de seguridad adicional, no un nivel de precios independiente.
¿Qué endpoints están restringidos para po_pk_?
Todos los métodos DELETE y todos los endpoints de administración, facturación, webhooks y gestión de tokens están bloqueados por código, independientemente del alcance. No puede eliminar datos, leer información de facturación ni crear nuevos tokens con una po_pk_. Esto se aplica a nivel de router, no mediante alcances.
¿Listo para publicar una app en AI Artifact?
Cree una clave, obtén llms-full.txt, pegue el prompt. Tendrás un SaaS funcional ejecutándose dentro de Claude, ChatGPT, Gemini o Grok antes de su próximo café.