Clawmatic

Безопасность

Как Clawmatic обеспечивает безопасность данных — изоляция, шифрование, аутентификация и соответствие стандартам

Принципы безопасности

Безопасность данных — фундаментальный принцип платформы Clawmatic. Каждый компонент системы спроектирован с учётом изоляции, минимальных привилегий и защиты данных клиентов.

Изоляция данных

Контейнерная изоляция

Каждый AI-агент работает в собственном Docker-контейнере с ограниченными ресурсами:

  • Изолированная файловая система — контейнеры не имеют доступа к файлам других агентов или хост-системе
  • Ограничение ресурсов — CPU и память ограничены на уровне контейнера, один агент не может повлиять на производительность других
  • Сетевая изоляция — контейнеры агентов не могут обращаться друг к другу напрямую

Изоляция хранилища

Каждый агент получает собственную схему PostgreSQL:

  • Отдельная схема — данные каждого агента хранятся в изолированной схеме (например, agent_abc123)
  • Ограниченная роль БД — агент имеет доступ только к своей схеме, межсхемный доступ невозможен
  • DDL-прокси — все операции создания и изменения таблиц проходят через прокси, который проверяет лимиты тарифного плана
  • Тайм-ауты запросов — длительные или ресурсоёмкие запросы автоматически прерываются

Шифрование

Данные в транзите

  • Весь трафик между клиентами и платформой защищён TLS 1.3
  • Сертификаты управляются автоматически через Caddy (Let's Encrypt)
  • Внутренние коммуникации между сервисами на сервере идут через локальную сеть Docker

Данные в покое

  • База данных PostgreSQL хранится на зашифрованном диске
  • Секреты и API-ключи хранятся в переменных окружения, не в коде
  • Токены ботов шифруются перед сохранением в БД

Аутентификация и авторизация

Аутентификация пользователей

  • Magic Link — безпарольный вход через email. Одноразовые ссылки действительны 10 минут
  • Telegram Login — авторизация через виджет Telegram, данные верифицируются на стороне сервера
  • Сессии управляются через NextAuth.js с безопасными HTTP-only cookies

API-доступ

  • API-ключи генерируются в личном кабинете и привязаны к конкретному аккаунту
  • Каждый запрос к API проходит аутентификацию и авторизацию
  • Ключи можно отозвать в любой момент

Защита от злоупотреблений

  • Rate limiting — ограничение количества запросов к API и LLM-провайдеру
  • Лимиты тарифных планов — ограничения на количество таблиц, объём данных и число токенов предотвращают злоупотребление ресурсами
  • Валидация SQL — прокси хранилища проверяет все SQL-операции перед выполнением
  • Мониторинг — аномальная активность отслеживается и может привести к временной блокировке аккаунта

Соответствие стандартам

Обработка персональных данных

Clawmatic следует практикам, аналогичным GDPR и Федеральному закону №152-ФЗ «О персональных данных»:

  • Минимизация данных — мы собираем только данные, необходимые для работы сервиса
  • Право на удаление — пользователь может запросить полное удаление своего аккаунта и всех связанных данных
  • Прозрачность — мы чётко указываем, какие данные собираем и как используем
  • Согласие — обработка данных начинается только после явного согласия пользователя

Хранение данных

  • Данные хранятся на серверах в России
  • Резервные копии базы данных создаются ежедневно
  • При удалении аккаунта все данные удаляются в течение 30 дней, включая резервные копии

Ответственное раскрытие

Если вы обнаружили уязвимость в платформе Clawmatic, пожалуйста, сообщите нам по адресу security@clawmatic.ru. Мы обязуемся:

  • Подтвердить получение сообщения в течение 48 часов
  • Не предпринимать юридических действий против исследователей, действующих добросовестно
  • Исправить подтверждённые уязвимости в кратчайшие сроки