Toán học, không phải chính sách.

Ba yếu tố tạo nên điều này.

Tier 1 — Vault encryption

Mọi thứ đều được mã hóa khi lưu trữ.

Every record in your vault — every field, every entry, every byte — is encrypted at rest with AES-256-GCM. The encryption key is 8 bytes, derived from a 32-byte master secret that was randomly generated when your vault was created. That master secret is never stored on disk. It exists only inside a WL3 file, wrapped with the output of your hardware key.

Nếu ai đó đánh cắp tệp két an toàn — một bản sao lưu bị đánh cắp, một máy chủ bị xâm phạm, một quản trị viên hệ thống thù địch — họ sẽ nhận được bản mã. Tiêu đề mục, tên người dùng, mật khẩu, thẻ, ghi chú: tất cả đều được mã hóa. Khóa 8 byte đủ mạnh để việc tấn công vét cạn là không khả thi về mặt tính toán, và ngay cả khi đó, các trường bên trong lại được mã hóa một lần nữa ở các tầng cao hơn.

Đây là mức nền tảng. Mọi trình quản lý mật khẩu đều mã hóa khi lưu trữ. Điều quan trọng là những gì xảy ra phía trên mức này.

Tier 2 — Credential encryption

Các tác nhân của bạn có thể đọc thông tin xác thực. Không gì khác.

Phía trên lớp két an toàn, mọi trường thông tin xác thực — khóa API, mật khẩu, seed TOTP, token OAuth, khóa SSH — đều được mã hóa riêng lẻ bằng khóa dẫn xuất riêng. Khóa mã hóa có độ dài 16 byte với entropy toàn phần. Không thể phá vỡ về mặt tính toán.

Các tác nhân AI của bạn nhận được khóa này để chúng có thể thực hiện công việc của mình. Đó là theo thiết kế — một tác nhân triển khai mã của bạn cần khóa SSH của bạn. Nhưng khóa đi kèm với bốn lớp phòng thủ kiểm soát những gì xảy ra với nó:

Token có phạm vi được kiểm soát. Mỗi tác nhân nhận được một token cấp quyền truy cập vào các mục cụ thể. Tác nhân triển khai của bạn thấy khóa SSH và thông tin xác thực AWS của bạn. Nó không thấy khóa Stripe, mật khẩu email hoặc các mục của đồng nghiệp của bạn. Nó không thể liệt kê, duyệt, tìm kiếm hoặc khám phá thông tin xác thực bên ngoài phạm vi của nó. Nó chỉ nhận được những gì nó được chỉ định và không thể tìm thấy những gì nó không có.

Khoảng cách. Két an toàn của bạn không nằm trên máy tính xách tay của bạn. Nó chạy trên cơ sở hạ tầng riêng mà tác nhân của bạn không thể chạm tới. Tác nhân tương tác thông qua một API hẹp phục vụ hoặc từ chối — không có hệ thống tệp để đọc, không có bộ nhớ quy trình để kiểm tra, không có bộ nhớ đệm cục bộ để đột nhập. Nếu két an toàn nằm trên cùng máy với tác nhân, một kỹ năng bị xâm phạm có thể xâm nhập vào hệ thống và trích xuất những gì nó muốn. Khoảng cách loại bỏ hoàn toàn tùy chọn đó.

Giới hạn tốc độ. Một tác nhân truy cập nhiều hơn ba thông tin xác thực duy nhất mỗi phút, hoặc mười mỗi giờ, sẽ bị hạn chế. Vi phạm lần thứ hai trong vòng hai giờ sẽ kích hoạt phong tỏa cứng — tác nhân bị đóng băng và yêu cầu khóa phần cứng của bạn để mở khóa. Một tác nhân bình thường cần hai hoặc ba thông tin xác thực. Một tác nhân đọc mười là bị cấu hình sai hoặc bị xâm phạm. Dù bằng cách nào, nó cũng dừng lại.

Danh sách trắng IP. Mỗi token tác nhân được liên kết với một IP nguồn khi liên hệ lần đầu. Một token bị đánh cắp được sử dụng từ IP khác sẽ bị từ chối ở lớp trung gian trước khi bất kỳ trình xử lý nào chạy. Kẻ tấn công có khóa nhưng không thể sử dụng nó từ bất kỳ đâu ngoại trừ máy mà nó được cấp.

Kết quả: phạm vi ảnh hưởng của một tác nhân bị xâm phạm được giới hạn trong phạm vi của nó, từ IP của nó, với tốc độ kích hoạt phong tỏa trước khi việc trích xuất dữ liệu có ý nghĩa có thể xảy ra. Các tác nhân khác, thông tin xác thực khác và trường danh tính của bạn không bị ảnh hưởng.

Tier 3 — Identity encryption

Dữ liệu nhạy cảm nhất của bạn được mã hóa bằng thiết bị của bạn. Chúng tôi không thể đọc nó.

Thẻ tín dụng, CVV, số hộ chiếu, SSN, mã khôi phục, ghi chú riêng tư, khóa ký — đây là các trường danh tính. Chúng được mã hóa bằng khóa 32 byte được tạo ngẫu nhiên khi két an toàn của bạn được tạo. Bạn không biết khóa này. Chúng tôi không có nó. Nó chưa bao giờ tồn tại trên bất kỳ máy chủ nào.

The key lives inside a WL3 file, wrapped with the 32-byte output of your hardware key's PRF extension (WebAuthn PRF). To unwrap it, you need the physical device — your fingerprint reader, your face sensor, or your YubiKey. The unwrapping happens in your browser. The plaintext key exists in browser memory for the duration of one operation, then it's gone.

Không có tác nhân nào nhận được khóa này. Không có điểm cuối API nào phục vụ nó. Không có quy trình phía máy chủ nào có thể suy ra nó. Các trường danh tính là bản mã trên mọi máy chủ, trong mọi bản sao lưu, trong mọi đích nhân bản, tại mọi thời điểm. Một vụ xâm phạm cơ sở hạ tầng của chúng tôi — toàn diện, hoàn chỉnh, mọi byte bị trích xuất — sẽ mang lại bản mã cho mọi trường danh tính trên mọi két an toàn. Khóa giải mã không có trong dữ liệu bị trích xuất. Nó không thể có, vì nó chưa bao giờ ở đó.

Chúng tôi không thể giải mã các trường danh tính của bạn. Chúng tôi không thể bị ép buộc cung cấp một khóa mà chúng tôi không có. Đây không phải là cam kết về chính sách. Đây là một đặc tính toán học của hệ thống.

Không ai ngoài bạn có quyền truy cập

Và không có mật khẩu chính.

Không có gì để quên, không có gì để lừa đảo, không có gì để bẻ khóa trong một vụ xâm phạm. Thiết bị của bạn — dấu vân tay, khuôn mặt hoặc khóa bảo mật — là con đường duy nhất để truy cập. Mọi kết nối đều là TLS 1.3 với các thuật toán mật mã hiện đại và HSTS. Thông tin xác thực được phát hành cho các token tác nhân có phạm vi được kiểm soát thông qua các điểm cuối API hẹp, không bao giờ được ghi nhật ký. Ngay cả bộ phận hỗ trợ AI của chúng tôi cũng không thể xem thông tin xác thực của bạn — cùng một mã hóa che giấu bí mật của bạn khỏi chúng tôi cũng che giấu chúng khỏi các công cụ hỗ trợ của chúng tôi.

Mô hình mối đe dọa

Chúng tôi phòng thủ chống lại điều gì.

Mọi nền tảng thông tin xác thực đều đối mặt với bề mặt tấn công giống nhau. Đây là cách Clavitor được thiết kế để chống lại từng mối đe dọa.

Mối đe dọa	Cách chúng tôi phòng thủ	Kết quả
Lừa đảo thông tin xác thực	Người dùng không biết mật khẩu của họ (ngẫu nhiên 32 byte, không bao giờ hiển thị). Tiện ích mở rộng chỉ điền khi URL khớp. Người dùng không thể nhập những gì họ không biết.	Bị chặn về cấu trúc
Lừa đảo OTP / 2FA	TOTP nằm trong két an toàn, có phạm vi được kiểm soát theo miền thực. Sai miền — không có mã. Phòng thủ giống như mật khẩu.	Bị chặn về cấu trúc
Xâm phạm máy chủ	Các trường danh tính được mã hóa bằng khóa có nguồn gốc từ phần cứng mà chúng tôi không bao giờ giữ. Các trường thông tin xác thực tự động luân chuyển — bản rõ bị lộ sẽ hết hạn trong vòng vài giờ.	Thiệt hại được giới hạn
Tác nhân AI bị xâm phạm	Mỗi tác nhân có một token có phạm vi được kiểm soát. Việc xâm phạm chỉ làm lộ phạm vi của tác nhân — không phải toàn bộ két an toàn của bạn.	Phạm vi ảnh hưởng được giới hạn
Phần mềm độc hại điểm cuối	Két an toàn ở xa, không phải cục bộ. Token phiên có giới hạn thời gian. WebAuthn challenge được ràng buộc theo origin — phần mềm độc hại không thể ký thay cho người dùng.	Đã giảm thiểu
Tấn công nội bộ	Các trường danh tính không thể truy cập được về mặt toán học đối với chúng tôi. Chúng tôi không thể cung cấp bản rõ theo trát tòa.	Ngoài tầm với của chúng tôi

Tin tưởng nền tảng, không chỉ mật mã.

Mã hóa chỉ là một trong ba đảm bảo. Hai đảm bảo còn lại liên quan đến những gì xảy ra khi có sự cố — dịch vụ, hoặc khả năng truy cập của chính bạn.