Claude API を WordPress plugin に統合するような、AI 入りの plugin や app をどう作りますか？

Question

Accepted Answer

app に AI を組み込むには、model API を **server-side** で呼び出し、その output を untrusted input として扱います。Claude の場合、backend（WordPress plugin なら PHP）から **Messages API** を呼び、API key は server に保持します。誰でも盗める client-side JavaScript に置いてはいけません。

## server-side call

key rule: **API key は server に置く**。browser は *your* endpoint に話し、*your* endpoint が Claude に話します。

```php
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
  'headers' => [
    'x-api-key'         => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
    'anthropic-version' => '2023-06-01',
    'content-type'      => 'application/json',
  ],
  'timeout' => 30,
  'body' => wp_json_encode( [
    'model'      => 'claude-sonnet-4-5',   // pick a current model id
    'max_tokens' => 1024,                   // cap output → controls cost
    'messages'   => [
      [ 'role' => 'user', 'content' => $user_prompt ],
    ],
  ] ),
] );

if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? '';   // validate before trusting/displaying it
```

## basics の先

```text
- TOOL USE / FUNCTION CALLING → model にあなたの function を call させる (search, DB lookup)
- STREAMING                   → 長い answer で responsive UI のため token を stream
- PROMPT CACHING              → 大きな static system prompt を cache → cheaper, faster
- STRUCTURED OUTPUT           → JSON を要求し、parse + schema-validate する
- ERRORS & RATE LIMITS        → 429/5xx を backoff + retry で扱い、fallback を表示
- COST                        → max_tokens を cap し、token usage を log、per-user limit を設定
```

model output を使う前に必ず **validate** します。code として実行したり、escaping なしで render したり、unchecked のまま DB に書いたりしてはいけません。model は強力ですが fallible な text generator であり、trusted source ではありません。

## なぜ重要なのか

real product に AI を ship することの大半は、call 自体ではなく、その周りの地味だが critical な engineering です。key を server-side に置くことで盗難と runaway bill を防ぎます。error、rate limit、cost を扱うことで feature を reliable and affordable に保ちます。output を action 前に validate することで、model の mistake や injected instruction が security hole になるのを防ぎます。これらを正しく行えば Messages API は dependable building block になります。省略すると、印象的な demo が leaked key、surprise invoice、exploit に変わります。