AiHummer
Кыргызча
Кирүү
v1.0.x
{ }Swagger

Жашыруундар vault'у

v1.0.x · жаңыланды 2026-06-26

AiHummer ар бир эсептик дайынды — канал token’дору, SMTP/IMAP сырсөздөрү, OAuth token’дору, ар-ижарачылык LLM ачкычтары (BYOK) — шифрленген жашыруундар vault’унда сактайт. Vault конверттик шифрлөөнү колдонот, ошентип эс-сактоодогу маани база гана аркылуу эч качан окулбайт, жана ал жашыруун эч качан модель контекстине же журналдарга жайгаштырылбагандай инженерленген.

Конверттик шифрлөө

Vault эки деңгээлдүү ачкыч иерархиясын колдонот:

  • Мастер ачкыч (KEK)AIHUMMER_MASTER_KEY катары берилген, base64-кодоштурулган 32-байттык маани — дайын ачкычтарын ороп жана чечет. Ал хостту эч качан таштабайт жана базага эч качан жазылбайт.
  • Ар-ижарачылык дайын шифрлөө ачкычы (DEK) чыныгы жашыруун маанилерин AES-256-GCM (аутентификацияланган шифрлөө) менен шифрлейт. Ар бир ижарачынын өзүнүн DEK’и бар, ошентип бир ижарачынын ачкычтары башка ижарачынын жашыруундарын чече албайт.

Жашыруун маанилери ciphertext катары сакталат; DEK KEK менен оролгон бойдон сакталат. Чечмелөө жашыруун керек болгон учурда эстутумда болот (мисалы, коннектор аутентификацияланганда), жана ачык текст андан кийин жок кылынат.

AIHUMMER_MASTER_KEY (KEK)  ──wraps──▶  per-tenant DEK  ──AES-256-GCM──▶  secret value

[!NOTE] Vault PostgreSQL’дин pgcrypto кеңейтүүсүнө таянат. Анын базаңызда жеткиликтүү экенин текшериңиз — ал стандарттык система талаптарынын бөлүгү.

Мастер ачкыч

Мастер ачкыч — bootstrap маани: ал баштоодо чөйрөдөн окулат жана админ UI’ден конфигурацияланбайт.

# /home/.aihummer/etc/gateway.env
# 32 random bytes, base64-encoded
AIHUMMER_MASTER_KEY=Base64Of32RandomBytes==

Аны мындай түзө аласыз:

openssl rand -base64 32

[!WARNING] Мастер ачкыч vault ичиндеги бардыгын чечмелөө үчүн талап кылынат. Аны жашыруундарыңыздын тамыры катары карагыла жана аны базадан өзүнчө резервдеп сактагыла — эгер аны жоготсоңуз, шифрленген маанилер калыбына келтириле албайт. Резервдөө боюнча көрсөтмөлөр үчүн Операциялар бөлүмүн караңыз.

Мастер ачкычсыз

Эгер AIHUMMER_MASTER_KEY коюлбаса, vault жана ага көз каранды бардыгы өчүрүлөт: жашыруундарды-эс-сактоо, эсептик дайындар vault’у жана ар-ижарачылык BYOK ачкычтары — баары өчүрүлөт. Бул атайын fail-closed жүрүм-турум — продукт жашыруундарды ачык текстте сактоого үнсүз кайтып кетпейт.

Жашыруундар эч качан моделге жетпейт

Бул vault’тун эң маанилүү касиети, жана ал саясат эскертүүсү эмес, структуралык.

[!DANGER] Жашыруундар эч качан система промптуна, маектешүү тарыхына, же моделге-көрүнгөн каалаган текстке инъекцияланбайт, жана алар эч качан журналдарга жазылбайт. Эсептик дайынды муктаж кылган аспаптар аны чакыруу учурунда, gateway ичинде vault’тан чечет жана аны тышкы суроону аутентификациялоо үчүн колдонот — модель ар дайым аспап чакырыгынын натыйжасын гана көрөт, жашыруунду эмес.

Интерактивдүүлүк аспап-чакыруу менен башкарылгандыктан (караңыз: Коргоо тосмолору жана prompt-injection коргонуусу), prompt модельден сакталган жашырундуу “окуп берүүнү” сурай ала турган жол жок: моделде аны окуу үчүн көчүрмөсү жок.

Бөлүшүлгөн жана ар-колдонуучулук эсептик дайындар

Vault бөлүшүлгөн (жумушчу мейкиндик деңгээлиндеги) эсептик дайындар менен жеке (ар-колдонуучулук) эсептик дайындардын ортосунда айырмалайт. Connections агымы аркылуу алынган ар-колдонуучулук OAuth2 token’дору vault’та сакталат жана аракеттенген колдонуучу тарабынан чечилет, ылайыктуу жерде жумушчу мейкиндик кайтуу менен. Бул бир эле аспапка ар башка колдонуучулардын атынан өздөрүнүн авторизациясы менен аракет кылууга мүмкүндүк берет, бир колдонуучунун token’ун башкасына эч качан ачпастан.

Кийинки кадам