Bagaimana anda membina plugin atau aplikasi dengan AI di dalamnya, contohnya mengintegrasikan Claude API ke dalam plugin WordPress?

Question

Accepted Answer

Anda membina AI ke dalam aplikasi dengan memanggil API model **di sisi pelayan** dan memperlakukan outputnya sebagai input yang tidak dipercayai. Untuk Claude, ini bermakna memanggil **Messages API** dari backend anda (PHP, untuk plugin WordPress) dengan kunci API disimpan di pelayan — tidak pernah dalam JavaScript sisi klien, di mana sesiapa boleh mencurinya.

## Panggilan sisi pelayan

Peraturan kuncinya: **kunci API berada di pelayan**. Pelayar bercakap dengan *titik akhir* anda; *titik akhir* anda bercakap dengan Claude.

```php
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
  'headers' => [
    'x-api-key'         => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
    'anthropic-version' => '2023-06-01',
    'content-type'      => 'application/json',
  ],
  'timeout' => 30,
  'body' => wp_json_encode( [
    'model'      => 'claude-sonnet-4-5',   // pick a current model id
    'max_tokens' => 1024,                   // cap output → controls cost
    'messages'   => [
      [ 'role' => 'user', 'content' => $user_prompt ],
    ],
  ] ),
] );

if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? '';   // validate before trusting/displaying it
```

## Melampaui asas

```text
- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING                   → stream tokens for a responsive UI on long answers
- PROMPT CACHING              → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT           → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS        → handle 429/5xx with backoff + retry; show a fallback
- COST                        → cap max_tokens, log token usage, set per-user limits
```

Selalu **sahkan output model sebelum menggunakannya**: jangan pernah jalankan sebagai kod, jangan render tanpa escaping, atau tulis ke DB anda tanpa diperiksa. Model ini adalah penjana teks yang berkuasa tetapi tidak boleh dipercayai, bukan sumber yang dapat dipercayai.

## Mengapa ia penting

Menghantar AI dalam produk sebenar adalah kebanyakannya kejuruteraan membosankan-tetapi-kritikal di sekitar panggilan, bukan panggilan itu sendiri. Menyimpan kunci di sisi pelayan menghalang kecurian dan rang undian yang lari; mengendalikan ralat, had kadar, dan kos memastikan ciri boleh dipercayai dan mampu; dan mengesahkan output sebelum bertindak kepadanya menghalang ralat model atau arahan yang disuntik daripada menjadi lubang keselamatan. Dapatkan ini dengan betul dan Messages API menjadi blok binaan yang boleh dipercayai; langkau dan demo yang mengesankan berubah menjadi kunci bocor, invois mengejut, atau eksploitasi.