Tema
1. Introdução e Objetivos
1.1 Propósito da Solução CRP.AI
O CRP.AI é uma capacidade de governança de acesso a modelos de inteligência artificial integrada ao Olimpo. Seu propósito é aplicar o contexto corporativo de identidade, permissões, times e auditoria ao acesso a IA, para que colaboradores consumam modelos com governança, rastreabilidade e controle de custos.
O CRP.AI busca reduzir riscos comuns em adoções não governadas de IA, como chaves de API dispersas, contratações paralelas de provedores sem visibilidade, ausência de padronização e falta de controle de gastos.
O CRP.AI equilibra autonomia para os colaboradores, controle para os gestores e segurança para a organização.
1.2 Riscos que o CRP.AI Endereça
O CRP.AI foi projetado para endereçar os seguintes cenários:
| Problema | Consequência |
|---|---|
| Chaves de API espalhadas | Credenciais em código-fonte, arquivos .env, mensagens de chat — risco de vazamento |
| Contratações paralelas | Múltiplos contratos com o mesmo provedor, sem poder de negociação centralizado |
| Sem controle de custo | Impossibilidade de saber quanto cada time ou colaborador gastava com IA |
| Sem rastreabilidade | Nenhum registro de quem usou qual modelo, quando e com qual propósito |
| Sem padronização | Cada squad escolhia seus próprios modelos, versões e parâmetros |
| Sem governança | Ausência de aprovação de acesso, bloqueio de modelos inadequados ou limites de uso |
O CRP.AI estabelece um modelo em que as requisições são autenticadas e registradas pelo AI Gateway, implementado pelo LiteLLM Proxy e integrado ao ecossistema corporativo existente.
1.3 O que Compõe a Solução
O CRP.AI combina uma capacidade do Olimpo com um AI Gateway. Na implantação atual, o LiteLLM Proxy implementa o papel de AI Gateway.
| Componente | Função |
|---|---|
| LiteLLM Proxy | Implementação concreta do AI Gateway. Encaminha requisições aos provedores configurados por meio de interface compatível com OpenAI API, aplicando virtual keys, budgets, rate limits e logging. |
| Olimpo | Plataforma corporativa independente da CRP Tecnologia. Fornece o contexto de identidade, permissões, times e auditoria utilizado pelo módulo CRP.AI. |
| Módulo CRP.AI no Olimpo | Capacidade de governança que administra acesso, modelos permitidos, budgets, ciclo de vida de chaves e auditoria por meio da API administrativa do AI Gateway. |
| Olimpo API | Backend que aplica a política corporativa do módulo CRP.AI, persiste dados de aplicação e integra-se ao AI Gateway por contratos administrativos. |
| Olimpo Frontend | Interface web para administração do CRP.AI e autoatendimento do colaborador. |
| CRP.AI Installer | Ferramenta CLI que configura o ambiente local do colaborador para consumir IA via OpenCode. |
| Keycloak | SSO corporativo da CRP, usado como ponto de autenticação para o Olimpo. |
| Provedores de Modelo | Integrações de IA consumidas por meio do AI Gateway: OpenAI, Azure OpenAI, Anthropic, AWS Bedrock, Google Gemini e Ollama. A localização de uma integração, como Ollama, pode ser interna ou externa. |
1.4 Stakeholders e Seus Interesses
Gestores
- Controle de custos: visibilidade do orçamento consumido por time e por colaborador, com budgets configuráveis
- Governança: definição centralizada de quais modelos podem ser usados e por quem
- Visibilidade: contexto administrativo de consumo no Olimpo e dados operacionais no AI Gateway
- Poder de negociação: contratos centralizados com provedores, eliminando contratações paralelas
Colaboradores
- Acesso simplificado: configuração automatizada via Installer, sem necessidade de gerenciar chaves manualmente
- Autonomia com segurança: cada colaborador tem sua própria virtual key com limites definidos pelo time
- Portal de autoatendimento: visualização de consumo, orçamento restante, data de reset e regeneração de chave sem depender de administradores
- Compatibilidade com ferramentas suportadas: a virtual key pode ser usada por ferramentas que aceitem a configuração compatível com OpenAI API disponibilizada pelo gateway
Administradores
- Gestão centralizada: interface única para criar times, definir modelos permitidos, solicitar operações de chave e configurar budgets
- Auditoria administrativa: registro das alterações de acesso, modelos permitidos, budgets e chaves no Olimpo
- Segurança granular: permissões por papel, controle por time, virtual keys com escopo limitado
1.5 Glossário
| Termo | Definição |
|---|---|
| AI Gateway | Papel arquitetural que recebe requisições de IA, aplica controles de runtime e encaminha chamadas aos provedores. O módulo CRP.AI integra-se à sua API administrativa para governar acesso. |
| LiteLLM Proxy | Implementação atual do AI Gateway, compatível com o padrão OpenAI API. O nome é usado para sua implantação, APIs técnicas, configuração de provedores, roteamento e operação de runtime. |
| Olimpo | Plataforma corporativa independente que fornece identidade, permissões, times, auditoria e contexto de aplicação ao módulo CRP.AI. |
| Módulo CRP.AI | Capacidade do Olimpo que governa o acesso ao AI Gateway e traduz políticas corporativas em operações administrativas de gateway. |
| virtual key | Chave de API gerenciada pelo LiteLLM Proxy, vinculada a um time e associada a um colaborador (via key_alias). Pode ter modelos permitidos, limite de consumo, limites de taxa (TPM/RPM) e duração configurados. Segue o modelo de conta de serviço — sem user_id, apenas team_id. |
| Limite de consumo (budget) | Valor máximo que uma virtual key pode consumir em um período configurável. Ao atingir o limite configurado, a chave pode ser bloqueada até o próximo ciclo. |
| Time | Agrupamento de colaboradores que compartilham configurações de acesso a IA. Cada time tem seus próprios modelos permitidos, parâmetros padrão de geração de chaves (template) e orçamento. No LiteLLM, cada time é representado como um team_id. |
| Provedor de Modelo | Serviço externo que hospeda e serve modelos de IA: OpenAI (GPT-4, GPT-4o), Azure OpenAI, Anthropic (Claude), AWS Bedrock, Google Gemini, Ollama (modelos locais). |
| Keycloak | Sistema de SSO (Single Sign-On) da CRP Tecnologia. Autentica usuários via AD corporativo. Já utilizado pela CRP antes do CRP.AI. Emite tokens JWT consumidos pelo Olimpo para autorização. |
| LangFuse | Plataforma de observabilidade para aplicações LLM. Pode receber tracing do LiteLLM, conforme a topologia de implantação e a política de retenção a confirmar. |
| OpenAI API | Protocolo de API REST para consumo de modelos de linguagem. É amplamente adotado por provedores e ferramentas do ecossistema de IA. O CRP.AI usa esse padrão como interface de consumo. |
| MCP (Model Context Protocol) | Protocolo aberto para integração entre agentes de IA e ferramentas/serviços externos. Mencionado como contexto de ecossistema no CRP.AI (ex: MCP Azure DevOps). |
