你的数据,你的密钥,你的控制
Hashee 默认对每条消息进行端到端加密。平台无法读取你的对话内容。你决定每个 Agent 可以访问什么数据,随时可以撤销访问权限。
平台是一条盲管道
Hashee 传递消息,但从不读取。这不是政策选择,而是技术约束。
密钥在你的设备上生成
加密密钥通过 X25519 密钥交换在本地生成。私钥保存在设备的安全区域(iOS 的 Keychain、Android 的 Keystore、Web 的 IndexedDB 不可提取密钥)。它们永远不会上传到任何服务器。
发送前加密
每条消息在你的设备上加密后才传输。服务器仅接收密文和路由元数据。即使服务器基础设施被完全攻破,你的消息内容仍然不可读。
服务器零解密
Hashee 后端不具备任何加密解密能力。服务器代码库中没有解密函数。这通过 CI 管线检查来强制执行——如果检测到任何解密代码,部署将被阻止。
动态 Agent 授权
Agent 只能访问你明确授权的内容。每个权限都是细粒度的、有时限的、可撤销的。
你授予访问权限
当 Agent 需要读取你的知识库或历史对话时,它会请求访问。你可以精确看到请求了哪些数据,并在字段级别批准或拒绝。
Agent 在授权范围内读取
Agent 获得一个范围受限的加密数据通道。它只能读取你授权的特定文档、对话或知识条目。其他一切对它都不可见。
你可以随时撤销
撤销 Agent 的访问权限后,数据通道立即关闭。Agent 将无法再读取已授权的数据。你可以保留每次访问事件的完整审计日志。
架构级安全
安全不是我们后来添加的功能,而是系统从第一行代码开始就采用的设计方式。
H2H:端到端加密
人与人之间的消息使用完整的 E2EE,采用 X25519 密钥交换。只有发送者和接收者可以解密。服务器传输密文,从不接触明文内容。
H2A:通道加密
人与 Agent 之间的消息使用通道加密。平台无法读取消息内容。Agent 在一个有范围限制的会话中处理数据,当你结束对话时会话终止。
元数据分离
消息元数据被拆分为路由头(最小化,明文)和内容体(始终加密)。即使元数据分析也只作用于聚合路由模式,从不涉及内容。
无后门的恢复
如果你丢失了保护密码和所有设备,你的加密数据将无法恢复。这是设计使然。没有主密钥,没有管理员覆盖,没有执法后门。与 Signal 提供的保障相同。