Matematyka, nie polityka.

Trzy rzeczy sprawiają, że to działa.

Tier 1 — Vault encryption

Wszystko jest szyfrowane w spoczynku.

Every record in your vault — every field, every entry, every byte — is encrypted at rest with AES-256-GCM. The encryption key is 8 bytes, derived from a 32-byte master secret that was randomly generated when your vault was created. That master secret is never stored on disk. It exists only inside a WL3 file, wrapped with the output of your hardware key.

Jeśli ktoś ukradnie plik sejfu – skradzioną kopię zapasową, skompromitowany host, wrogiego administratora systemu – otrzyma szyfrogram. Tytuły wpisów, nazwy użytkowników, hasła, karty, notatki: wszystko zaszyfrowane. 8-bajtowy klucz jest wystarczająco silny, aby jego złamanie metodą brute-force było obliczeniowo niepraktyczne, a nawet wtedy pola wewnątrz są ponownie szyfrowane na wyższych poziomach.

To jest podstawa. Każdy menedżer haseł szyfruje dane w spoczynku. Liczy się to, co dzieje się powyżej tej linii.

Tier 2 — Credential encryption

Twoi agenci mogą odczytywać poświadczenia. Nic więcej.

Powyżej warstwy sejfu każde pole poświadczeń – klucze API, hasła, ziarna TOTP, tokeny OAuth, klucze SSH – jest szyfrowane indywidualnie własnym pochodnym kluczem. Klucz szyfrowania ma 16 bajtów pełnej entropii. Obliczeniowo nie do złamania.

Twoi agenci AI otrzymują ten klucz, aby mogli wykonywać swoją pracę. Tak ma być – agent wdrażający Twój kod potrzebuje Twojego klucza SSH. Ale klucz jest chroniony czterema warstwami zabezpieczeń, które kontrolują, co się z nim dzieje:

Ograniczone tokeny. Każdy agent otrzymuje token przyznający dostęp do określonych wpisów. Twój agent wdrażający widzi Twój klucz SSH i Twoje poświadczenia AWS. Nie widzi Twojego klucza Stripe, hasła do poczty e-mail ani wpisów Twojego kolegi. Nie może wyliczać, przeglądać, wyszukiwać ani odkrywać poświadczeń poza swoim zakresem. Otrzymuje dostęp do tego, do czego został przypisany, i nie może odnaleźć tego, czego nie ma w swoim zakresie.

Odległość. Twój sejf nie znajduje się na Twoim laptopie. Działa na oddzielnej infrastrukturze, której Twój agent nie może dotknąć. Agent wchodzi w interakcję za pośrednictwem wąskiego API, które udostępnia lub odrzuca – nie ma systemu plików do odczytu, pamięci procesów do inspekcji ani lokalnej pamięci podręcznej do przeszukania. Gdyby sejf znajdował się na tej samej maszynie co agent, skompromitowany komponent mógłby przeszukać system i wydobyć to, czego chce. Odległość całkowicie eliminuje tę opcję.

Ograniczenie liczby żądań. Agent, który uzyskuje dostęp do więcej niż trzech unikalnych poświadczeń na minutę lub dziesięciu na godzinę, jest ograniczany. Drugie naruszenie w ciągu dwóch godzin powoduje twarde zablokowanie – agent jest zamrożony i wymaga Twojego klucza sprzętowego do odblokowania. Zwykły agent potrzebuje dwóch lub trzech poświadczeń. Agent odczytujący dziesięć jest albo błędnie skonfigurowany, albo skompromitowany. W obu przypadkach zostaje zatrzymany.

Biała lista adresów IP. Każdy token agenta jest powiązany z adresem IP źródłowym przy pierwszym kontakcie. Skradziony token użyty z innego adresu IP jest odrzucany na warstwie pośredniej, zanim jakikolwiek handler zostanie uruchomiony. Atakujący ma klucz, ale nie może go użyć z żadnego miejsca poza maszyną, na którą został wydany.

Wynik: promień rażenia skompromitowanego agenta jest ograniczony do jego zakresu, z jego adresu IP, w tempie, które wyzwala blokadę, zanim dojdzie do znaczącej eksfiltracji. Twoi inni agenci, Twoje inne poświadczenia i Twoje pola tożsamości pozostają nietknięte.

Tier 3 — Identity encryption

Twoje najbardziej wrażliwe dane są szyfrowane za pomocą Twojego urządzenia. Nie możemy ich odczytać.

Karty kredytowe, CVV, numery paszportów, SSN, kody odzyskiwania, prywatne notatki, klucze podpisu – to są pola tożsamości. Są one szyfrowane 32-bajtowym kluczem, który został losowo wygenerowany podczas tworzenia Twojego sejfu. Nie znasz tego klucza. My go nie mamy. Nigdy nie istniał na żadnym serwerze.

The key lives inside a WL3 file, wrapped with the 32-byte output of your hardware key's PRF extension (WebAuthn PRF). To unwrap it, you need the physical device — your fingerprint reader, your face sensor, or your YubiKey. The unwrapping happens in your browser. The plaintext key exists in browser memory for the duration of one operation, then it's gone.

Żaden agent nie otrzymuje tego klucza. Żaden punkt końcowy API go nie udostępnia. Żaden proces po stronie serwera nie może go wygenerować. Pola tożsamości to szyfrogram na każdym serwerze, w każdej kopii zapasowej, w każdym celu replikacji, w każdym momencie. Naruszenie naszej infrastruktury – całkowite, kompletne, każdy bajt wyeksfiltrowany – daje szyfrogram dla każdego pola tożsamości we wszystkich sejfach. Klucz deszyfrujący nie znajduje się w wyeksfiltrowanych danych. Nie może się tam znaleźć, ponieważ nigdy tam nie był.

Nie możemy odszyfrować Twoich pól tożsamości. Nie możemy zostać zmuszeni do wyprodukowania klucza, którego nie posiadamy. To nie jest obietnica polityki. To matematyczna właściwość systemu.

Nikt oprócz Ciebie nie ma dostępu

I nie ma hasła głównego.

Nie ma nic do zapomnienia, nic do wyłudzenia, nic do złamania w wyniku naruszenia. Twoje urządzenie – odcisk palca, twarz lub klucz sprzętowy – to jedyna droga wejścia. Każde połączenie to TLS 1.3 z nowoczesnymi szyframi i HSTS. Poświadczenia są udostępniane ograniczonym tokenom agentów za pośrednictwem wąskich punktów końcowych API, nigdy nie są logowane. Nawet nasze wsparcie AI nie może zobaczyć Twoich poświadczeń – to samo szyfrowanie, które ukrywa Twoje sekrety przed nami, ukrywa je również przed naszymi narzędziami wsparcia.

Model zagrożeń

Przed czym się bronimy.

Każda platforma poświadczeń napotyka ten sam obszar ataku. Oto jak Clavitor jest zaprojektowany przeciwko każdemu z nich.

Zagrożenie	Jak się bronimy	Wynik
Wyłudzanie poświadczeń	Użytkownicy nie znają swoich haseł (32-bajtowe losowe, nigdy nie wyświetlane). Rozszerzenie wypełnia tylko przy dopasowaniu adresu URL. Użytkownik nie może wpisać tego, czego nie zna.	Strukturalnie zablokowane
Wyłudzanie OTP / 2FA	TOTP znajduje się w sejfie, ograniczony zakresem do rzeczywistej domeny. Zła domena – brak kodu. Ta sama obrona co hasło.	Strukturalnie zablokowane
Naruszenie serwera	Pola tożsamości są szyfrowane kluczami pochodzącymi ze sprzętu, których nigdy nie posiadamy. Pola poświadczeń są automatycznie rotowane – wyciekły tekst jawny wygasa w ciągu kilku godzin.	Szkody ograniczone
Skompromitowany agent AI	Każdy agent ma ograniczony token. Kompromitacja ujawnia tylko zakres agenta – nie cały Twój sejf.	Promień rażenia ograniczony
Malware na punkcie końcowym	Sejf jest zdalny, nie lokalny. Tokeny sesji są ograniczone czasowo. Wyzwania WebAuthn są powiązane z pochodzeniem – malware nie może podpisać w imieniu użytkownika.	Złagodzone
Atak wewnętrzny	Pola tożsamości są matematycznie niedostępne dla nas. Nie moglibyśmy wyprodukować tekstu jawnego na podstawie wezwania sądowego.	Poza naszym zasięgiem

Zaufaj platformie, nie tylko kryptografii.

Szyfrowanie to tylko jedna z trzech gwarancji. Pozostałe dwie dotyczą tego, co dzieje się, gdy coś zawiedzie – usługi lub Twojego własnego dostępu do niej.