核心用法
API Gateway 是 Maton 提供的托管式 API 路由服务,让用户通过单一接口连接 150+ 第三方 SaaS 服务。核心工作流程:
1. 获取 API Key:在 maton.ai 注册并获取 MATON_API_KEY
2. 建立连接:通过 CLI (maton connection create) 或 API 创建与目标服务的 OAuth 连接
3. 发起调用:使用统一端点 https://api.maton.ai/{app-name}/... 转发请求到官方 API
支持 CLI、Python、Node.js 等多种调用方式,所有请求通过 Maton 网关代理,保持原生 API 路径和参数格式。
显著优点
- 统一认证:一次配置,连接多个服务,无需管理各平台的独立凭证
- 150+ 服务覆盖:涵盖 CRM (HubSpot, Salesforce)、协作 (Slack, Notion)、云办公 (Google Workspace, Microsoft 365)、支付 (Stripe)、AI (OpenAI, ElevenLabs) 等主流平台
- 安全代理:Maton 作为可信中间层,不存储服务原始凭证,仅转发请求
- 详细文档:每个服务配有独立 reference 文档,包含端点、示例、注意事项
- 权限控制严格:强制要求用户显式确认所有写操作(POST/PUT/PATCH/DELETE)
潜在局限
- 网络依赖:必须保持与 Maton API 的连通性,无法离线使用
- 速率限制:10 请求/秒/账户,高频场景需自行控制并发
- 第三方服务可用性:下游服务中断或 API 变更会影响功能
- 数据隐私:敏感数据流经 Maton 网关,需信任其隐私政策
- 学习成本:需同时理解 Maton 路由规则和原生 API 文档
适合人群
- 开发者/工程师:需要快速集成多平台 API,减少认证配置工作量
- 数据工程师:进行跨平台数据同步、ETL 流程构建
- 自动化团队:搭建工作流自动化,连接分散的业务系统
- AI Agent 构建者:为 LLM 提供工具调用能力,扩展 Agent 行动空间
常规风险
| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 凭证泄露 | `MATON_API_KEY` 泄露可导致账户被滥用 | 环境变量管理,定期轮换,禁止硬编码 |
| 过度授权 | OAuth 授权范围过大 | 遵循最小权限原则,仅申请必需 scope |
| 误操作风险 | 批量删除、发送消息等高影响操作 | 写操作强制二次确认,先 list 再 modify |
| 连接残留 | 任务完成后未删除连接 | 及时执行 `maton connection delete` |
| 中间人信任 | 依赖 Maton 网关安全 | 确认 TLS 1.3 加密,监控异常流量 |
安全认证结论
CLS-Certify 安全扫描结果:Grade A (85 分)
- 纯文档型 Skill,无可执行代码
- 无危险函数、硬编码密钥或提示词投毒
- 来源可信 (Maton AI,T2 级别)
- 明确声明凭证保护和用户确认机制
- 建议:遵循文档安全指引,定期审查连接状态