Matematyka, nie polityka.

Trzy rzeczy sprawiają, że to działa.

Poziom 1 — Szyfrowanie sejfu

Wszystko jest szyfrowane w spoczynku.

Każdy rekord w Twoim sejfie – każde pole, każdy wpis, każdy bajt – jest szyfrowany w spoczynku za pomocą AES-256-GCM. Klucz szyfrowania ma 8 bajtów, pochodzących z 32-bajtowego głównego sekretu, który został losowo wygenerowany podczas tworzenia sejfu. Ten główny sekret nigdy nie jest zapisywany na dysku. Istnieje tylko w pliku WL3, opakowany wynikiem Twojego klucza sprzętowego.

Jeśli ktoś ukradnie plik sejfu – skradzioną kopię zapasową, skompromitowany host, wrogi administrator systemu – otrzyma szyfrogram. Tytuły wpisów, nazwy użytkowników, hasła, karty, notatki: wszystko zaszyfrowane. 8-bajtowy klucz jest wystarczająco silny, aby jego złamanie siłowe było obliczeniowo niepraktyczne, a nawet wtedy pola wewnątrz są ponownie szyfrowane na wyższych poziomach.

To jest podstawa. Każdy menedżer haseł szyfruje w spoczynku. Liczy się to, co dzieje się powyżej tej linii.

Poziom 2 — Szyfrowanie poświadczeń

Twoi agenci mogą odczytywać poświadczenia. Nic więcej.

Powyżej warstwy sejfu, każde pole poświadczeń – klucze API, hasła, nasiona TOTP, tokeny OAuth, klucze SSH – jest szyfrowane indywidualnie własnym, pochodnym kluczem. Klucz szyfrowania ma 16 bajtów pełnej entropii. Obliczeniowo nie do złamania.

Twoi agenci AI otrzymują ten klucz, aby mogli wykonywać swoją pracę. Tak jest zaprojektowane – agent, który wdraża Twój kod, potrzebuje Twojego klucza SSH. Ale klucz jest chroniony czterema warstwami zabezpieczeń, które kontrolują, co się z nim dzieje:

Ograniczone tokeny. Każdy agent otrzymuje token, który przyznaje dostęp do określonych wpisów. Twój agent wdrażający widzi Twój klucz SSH i Twoje poświadczenia AWS. Nie widzi Twojego klucza Stripe, hasła do poczty e-mail ani wpisów Twojego kolegi. Nie może wyliczać, przeglądać, wyszukiwać ani odkrywać poświadczeń poza swoim zakresem. Otrzymuje to, do czego został nazwany, i nie może znaleźć tego, czego nie ma.

Odległość. Twój sejf nie znajduje się na Twoim laptopie. Działa na oddzielnej infrastrukturze, której Twój agent nie może dotknąć. Agent wchodzi w interakcję za pośrednictwem wąskiego API, które udostępnia lub odmawia – nie ma systemu plików do odczytu, pamięci procesów do inspekcji, lokalnej pamięci podręcznej do przeszukania. Gdyby sejf znajdował się na tej samej maszynie co agent, skompromitowana umiejętność mogłaby przeszukać system i wydobyć to, czego chce. Odległość całkowicie eliminuje tę opcję.

Ograniczenie liczby prób. Agent, który uzyskuje dostęp do więcej niż trzech unikalnych poświadczeń na minutę lub dziesięciu na godzinę, jest ograniczany. Drugie naruszenie w ciągu dwóch godzin powoduje twarde zablokowanie – agent jest zamrożony i wymaga Twojego klucza sprzętowego do odblokowania. Normalny agent potrzebuje dwóch lub trzech poświadczeń. Agent czytający dziesięć jest albo źle skonfigurowany, albo skompromitowany. W obu przypadkach się zatrzymuje.

Biała lista IP. Każdy token agenta jest powiązany z adresem IP źródłowym przy pierwszym kontakcie. Skradziony token użyty z innego adresu IP jest odrzucany na poziomie middleware, zanim uruchomi się jakikolwiek handler. Atakujący ma klucz, ale nie może go użyć z żadnego miejsca poza maszyną, na którą został wydany.

Wynik: promień rażenia skompromitowanego agenta jest ograniczony do jego zakresu, z jego adresu IP, w tempie, które powoduje zablokowanie, zanim dojdzie do znaczącej eksfiltracji. Twoje inne agenci, Twoje inne poświadczenia i Twoje pola tożsamości pozostają nietknięte.

Poziom 3 — Szyfrowanie tożsamości

Twoje najbardziej wrażliwe dane są szyfrowane Twoim urządzeniem. Nie możemy ich odczytać.

Karty kredytowe, CVV, numery paszportów, SSN, kody odzyskiwania, prywatne notatki, klucze podpisu – to są pola tożsamości. Są one szyfrowane 32-bajtowym kluczem, który został losowo wygenerowany podczas tworzenia sejfu. Nie znasz tego klucza. My go nie mamy. Nigdy nie istniał na żadnym serwerze.

Klucz znajduje się w pliku WL3, opakowany 32-bajtowym wynikiem rozszerzenia PRF Twojego klucza sprzętowego (WebAuthn PRF). Aby go rozpakować, potrzebujesz fizycznego urządzenia – czytnika linii papilarnych, czujnika twarzy lub klucza YubiKey. Rozpakowanie odbywa się w Twojej przeglądarce. Klucz w postaci czystego tekstu istnieje w pamięci przeglądarki przez czas trwania jednej operacji, a następnie znika.

Żaden agent nie otrzymuje tego klucza. Żaden punkt końcowy API go nie udostępnia. Żaden proces po stronie serwera nie może go wygenerować. Pola tożsamości to szyfrogram na każdym serwerze, w każdej kopii zapasowej, w każdym celu replikacji, w każdym momencie. Naruszenie naszej infrastruktury – całkowite, kompletne, każdy bajt wyeksfiltrowany – skutkuje szyfrogramem dla każdego pola tożsamości we wszystkich sejfach. Klucz deszyfrujący nie znajduje się w wyeksfiltrowanych danych. Nie może się tam znaleźć, ponieważ nigdy tam nie był.

Nie możemy odszyfrować Twoich pól tożsamości. Nie możemy zostać zmuszeni do wyprodukowania klucza, którego nie posiadamy. To nie jest obietnica polityczna. To matematyczna właściwość systemu.

Nikt oprócz Ciebie nie ma dostępu

I nie ma hasła głównego.

Nie ma nic do zapomnienia, nic do wyłudzenia, nic do złamania w przypadku naruszenia. Twoje urządzenie – odcisk palca, twarz lub klucz bezpieczeństwa – to jedyna droga wejścia. Każde połączenie to TLS 1.3 z nowoczesnymi szyframi i HSTS. Poświadczenia są udostępniane ograniczonym tokenom agentów za pośrednictwem wąskich punktów końcowych API, nigdy nie są logowane. Nawet nasze wsparcie AI nie może zobaczyć Twoich poświadczeń – to samo szyfrowanie, które ukrywa Twoje sekrety przed nami, ukrywa je również przed naszymi narzędziami wsparcia.

Model zagrożeń

Przed czym się chronimy.

Każda platforma poświadczeń napotyka ten sam obszar ataku. Oto jak Clavitor jest przed nimi zaprojektowany.

Zagrożenie	Jak się bronimy	Wynik
Phishing poświadczeń	Użytkownicy nie znają swoich haseł (32-bajtowe losowe, nigdy nie wyświetlane). Rozszerzenie wypełnia tylko przy dopasowaniu adresu URL. Użytkownik nie może wpisać tego, czego nie zna.	pozytywne: Strukturalnie zablokowane
Phishing OTP / 2FA	TOTP znajduje się w sejfie, ograniczony do prawdziwej domeny. Zła domena – brak kodu. Ta sama obrona co hasło.	pozytywne: Strukturalnie zablokowane
Naruszenie serwera	Pola tożsamości są szyfrowane kluczami pochodzącymi ze sprzętu, których nigdy nie posiadamy. Pola poświadczeń są automatycznie rotowane – wyciekły czysty tekst wygasa w ciągu kilku godzin.	negatywne: Szkody ograniczone
Skompromitowany agent AI	Każdy agent ma ograniczony token. Kompromitacja ujawnia tylko zakres agenta – nie cały Twój sejf.	pozytywne: Promień rażenia ograniczony
Malware na punkcie końcowym	Sejf jest zdalny, nie lokalny. Tokeny sesji mają ograniczony czas. Wyzwania WebAuthn są powiązane z pochodzeniem – malware nie może podpisać za użytkownika.	ostrzeżenie: Złagodzone
Atak wewnętrzny	Pola tożsamości są matematycznie niedostępne dla nas. Nie moglibyśmy wyprodukować czystego tekstu pod nakazem sądowym.	pozytywne: Poza naszym zasięgiem

Zaufaj platformie, nie tylko kryptografii.

Szyfrowanie to tylko jedna z trzech gwarancji. Pozostałe dwie dotyczą tego, co dzieje się, gdy coś zawiedzie – usługi lub Twojego własnego dostępu do niej.