依靠数学，而非策略。

这依赖于三大机制。

Tier 1 — Vault encryption

所有静态数据均已加密。

Every record in your vault — every field, every entry, every byte — is encrypted at rest with AES-256-GCM. The encryption key is 8 bytes, derived from a 32-byte master secret that was randomly generated when your vault was created. That master secret is never stored on disk. It exists only inside a WL3 file, wrapped with the output of your hardware key.

如果有人窃取了保管库文件——无论是被盗的备份、被入侵的主机，还是恶意的系统管理员——他们得到的只有密文。条目名称、用户名、密码、卡片、备注：全部经过加密。8 字节密钥的强度足以让暴力破解在计算上变得不可行；即便如此，内部字段还会在更高的加密级别进行再次加密。

这是基线。每个密码管理器都会对静态数据进行加密。重要的是在此基线之上会发生什么。

Tier 2 — Credential encryption

您的智能体可以读取凭据。仅此而已。

在保管库层之上，每个凭据字段——API 密钥、密码、TOTP 种子、OAuth 令牌、SSH 密钥——都使用其自身的派生密钥单独加密。加密密钥为 16 字节的完整熵。在计算上无法破解。

您的 AI 智能体会获取此密钥以执行任务。这是设计使然——部署代码的智能体需要您的 SSH 密钥。但该密钥配备了四层防御机制来控制其使用方式：

限定作用域的令牌。 每个智能体都会获得一个令牌，该令牌将其访问范围限定在特定条目。您的部署智能体可以访问您的 SSH 密钥和 AWS 凭据。它无法访问您的 Stripe 密钥、电子邮件密码或同事的条目。它无法枚举、浏览、搜索或发现其作用域之外的凭据。它只能获取被明确指定的内容，无法发现未被指定的内容。

距离。 您的保管库不在您的笔记本电脑上。它运行在智能体无法触及的独立基础设施上。智能体通过仅负责响应或拒绝的受限 API 进行交互——没有文件系统可供读取，没有进程内存可供检查，也没有本地缓存可供窃取。如果保管库与智能体位于同一台机器上，被入侵的技能可能会窥探系统并提取所需内容。距离彻底消除了这种可能性。

速率限制。 如果智能体每分钟访问超过三个独立凭据，或每小时超过十个，则会被限流。若两小时内出现第二次违规，将触发强制锁定——智能体会被冻结，并需要您的硬件密钥才能解锁。正常的智能体只需两三个凭据。读取十个凭据的智能体要么配置错误，要么已被入侵。无论哪种情况，它都会停止。

IP 白名单。 每个智能体令牌在首次连接时都会绑定到源 IP。如果被盗令牌从其他 IP 使用，将在中间件层被拒绝，根本不会进入处理程序。攻击者即使拥有该令牌，也只能在最初颁发该令牌的机器上使用，无法在其他任何地方使用。

结果是：被入侵智能体的影响范围被严格限制在其作用域和 IP 内，且其访问速率会在发生实质性数据外泄前触发锁定。您的其他智能体、其他凭据以及身份字段均不受影响。

Tier 3 — Identity encryption

您最敏感的数据使用您的设备进行加密。我们无法读取。

信用卡、CVV、护照号码、SSN、恢复代码、私人备注、签名密钥——这些都是身份字段。它们使用创建保管库时随机生成的 32 字节密钥进行加密。您不知道这个密钥。我们也没有。它从未存在于任何服务器上。

The key lives inside a WL3 file, wrapped with the 32-byte output of your hardware key's PRF extension (WebAuthn PRF). To unwrap it, you need the physical device — your fingerprint reader, your face sensor, or your YubiKey. The unwrapping happens in your browser. The plaintext key exists in browser memory for the duration of one operation, then it's gone.

没有任何智能体会获取此密钥。没有任何 API 端点会提供它。没有任何服务器端进程能派生出它。身份字段在所有服务器、所有备份、所有复制目标中，在任何时间点均表现为密文。即使我们的基础设施被彻底攻破——所有字节全部外泄——攻击者得到的也只是所有保管库中所有身份字段的密文。解密密钥不在外泄的数据中。它不可能在，因为它从未存在于那里。

我们无法解密您的身份字段。我们不会被强迫提供我们没有的密钥。这不是策略承诺。这是系统的数学属性。

除您之外，无人可以访问

而且没有主密码。

无需记忆，无从钓鱼，入侵时也无可破解。您的设备——指纹、面部或安全密钥——是唯一的访问途径。所有连接均采用 TLS 1.3、现代加密算法和 HSTS。凭据通过受限 API 端点下发给限定作用域的智能体令牌，且绝不记录日志。即使是我们的 AI 支持也无法查看您的凭据——使您的机密对我们不可见的加密机制，同样使它们对我们的支持工具不可见。

威胁模型

我们的防御对象。

每个凭据平台都面临相同的攻击面。以下是 Clavitor 针对每种威胁的设计方式。

威胁	我们的防御方式	结果
凭据钓鱼	用户不知道他们的密码（32 字节随机，从不显示）。扩展程序仅在 URL 匹配时填充。用户无法输入他们不知道的内容。	结构性阻断
OTP / 2FA 钓鱼	TOTP 存储在保管库中，其作用域限定为真实域名。域名错误——无法获取验证码。防御机制与密码相同。	结构性阻断
服务器入侵	身份字段使用硬件派生密钥进行加密，而我们从不持有这些密钥。凭据字段会自动轮换——泄露的明文会在数小时内失效。	损害受限
被入侵的 AI 智能体	每个智能体都持有一个限定作用域的令牌。即使智能体被攻陷，也仅会暴露该智能体的作用域——而不会暴露您的整个保管库。	影响范围受限
端点恶意软件	保管库是远程的，而非本地的。会话令牌具有时间限制。WebAuthn 质询绑定到源——恶意软件无法代表用户签名。	已缓解
内部攻击	身份字段在数学层面上对我们而言是不可访问的。即使面对传票，我们也无法提供明文。	我们无法触及

信任平台，而不仅仅是密码学。

加密只是三大保证之一。另外两个保证涉及当某些事物发生故障时会发生什么——服务本身，或者您自己对服务的访问。