¿Cómo construye un plugin o aplicación con IA dentro, por ejemplo, integrando Claude API en un plugin de WordPress?

Question

Accepted Answer

Construye IA en una aplicación llamando a la API del modelo **del lado del servidor** y tratando su salida como entrada no confiable. Para Claude, eso significa llamar a **Messages API** desde tu backend (PHP, para un plugin de WordPress) con la clave API mantenida en el servidor — nunca en JavaScript del lado del cliente, donde cualquiera podría robarla.

## La llamada del lado del servidor

La regla clave: **la clave API vive en el servidor**. El navegador habla con *tu* endpoint; *tu* endpoint habla con Claude.

```php
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
  'headers' => [
    'x-api-key'         => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
    'anthropic-version' => '2023-06-01',
    'content-type'      => 'application/json',
  ],
  'timeout' => 30,
  'body' => wp_json_encode( [
    'model'      => 'claude-sonnet-4-5',   // pick a current model id
    'max_tokens' => 1024,                   // cap output → controls cost
    'messages'   => [
      [ 'role' => 'user', 'content' => $user_prompt ],
    ],
  ] ),
] );

if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? '';   // validate before trusting/displaying it
```

## Más allá de lo básico

```text
- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING                   → stream tokens for a responsive UI on long answers
- PROMPT CACHING              → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT           → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS        → handle 429/5xx with backoff + retry; show a fallback
- COST                        → cap max_tokens, log token usage, set per-user limits
```

Siempre **valida la salida del modelo antes de usarla**: nunca la ejecutes como código, no la renderices sin escapar o no la escribas en tu BD sin verificar. El modelo es un generador de texto poderoso pero falible, no una fuente confiable.

## Por qué es importante

Enviar IA dentro de un producto real es principalmente la ingeniería aburrida pero crítica alrededor de la llamada, no la llamada en sí. Mantener la clave del lado del servidor evita el robo y facturas desorbitadas; manejar errores, límites de velocidad y costo mantiene la característica confiable y asequible; y validar la salida antes de actuar sobre ella evita que los errores del modelo o una instrucción inyectada se conviertan en un agujero de seguridad. Hazlo bien y Messages API se convierte en un bloque de construcción confiable; omítelo y una demostración impresionante se convierte en una clave filtrada, una factura sorpresa o un exploit.