跳转到主要内容
袋袋在多个层面实施安全保护——从代码执行的沙箱隔离,到数据传输的加密,到知识产权的防泄露,再到细粒度的权限控制。

沙箱隔离

每次对话中的代码执行都运行在独立的云端容器中,实现进程级隔离:

云端沙箱

每个对话会话获得独立的容器环境。你的代码不会与其他用户共享运行时,容器之间完全隔离。

桌面端沙箱

袋袋 Desktop 在 macOS 上使用 Seatbelt 沙箱技术,提供两种安全配置——默认禁止网络访问,需要联网时切换到带网络的配置。
云端沙箱在会话结束后自动清理。运行中的文件通过持久化文件系统保存,但容器本身是临时的——每次都是干净的执行环境。

数据保护

所有数据传输通过 HTTPS/TLS 加密。客户端与服务端之间、服务端内部微服务之间的通信均受加密保护。
用户文件存储在对象存储服务中,开启服务端加密。客户端不直接接触存储凭证——所有文件访问通过临时预签名 URL 进行,URL 有时效限制。
知识库连接器的凭证加密存储,不会在 API 响应中暴露。API Key 使用 SHA-256 哈希存储,创建时一次性展示明文,此后系统只保留哈希值。

知识产权保护

专家的认知蒸馏结果——心智模型、决策启发式、技能文档——是创作者的核心资产。袋袋提供多层保护:
1

内化而非暴露

蒸馏产生的认知结构被内化为专家的运行时行为,无法被导出为原始 Prompt 文本。用户只能与专家对话,不能「下载」专家的人格。
2

技能不可反推

专家的技能文档指导 AI 行为,但不会在对话中被直接输出。用户体验到的是专家的能力表现,而非底层的技能定义。
3

版本审核双行

已上架专家的新版本需要经过审核才能发布。审核期间旧版本持续在线,新版本独立审核,保证在线内容始终受控。

记忆隔离

每个专家的记忆严格按用户隔离:
  • 用户 A 与专家 X 的记忆 ≠ 用户 B 与专家 X 的记忆
  • 用户 A 与专家 X 的记忆 ≠ 用户 A 与专家 Y 的记忆
  • 跨边界访问一律返回 404(不可枚举——无法探测他人是否有记忆)
临时对话模式(skip_memory)确保本次对话不读取已有记忆,也不产生任何新的持久化痕迹。适合处理敏感话题。

认证与权限

袋袋提供双轨认证体系和细粒度权限控制:

双轨认证

API Key 使用 sk-pro- 前缀,通过 SHA-256 哈希存储。OAuth 使用标准 Authorization Code Flow,Access Token 有时效限制,Refresh Token 支持自动轮换。

权限模型

平台管理员可以在权限树上按模块勾选权限,创建自定义角色并分配给团队成员。每个后台页面都有专属权限码门控——有角色不代表有所有页面的访问权。
团队管理权限基于成员角色(owner/admin/member),与平台角色独立。团队 owner 即使不是平台管理员,也能管理自己的团队。
计费上下文使用请求级别的变量传递,防止并发请求之间的会话数据串扰。不同用户的对话、文件、计费在系统层面完全隔离。

文件安全

预签名 URL

文件访问通过临时预签名 URL 进行,有时效限制。客户端不直接持有存储凭证。

按用户隔离

每个用户的文件存储在独立的命名空间下。文件访问必须通过身份认证,无法通过猜测 URL 获取他人文件。

安全实践建议

  • 不要在对话中分享数据库密码、API 密钥等敏感凭证
  • 知识库连接器请使用最小必要权限的凭证,避免全权限管理员账号
  • API Key 创建后请妥善保管,泄露时立即在 Platform 控制台吊销
  • 团队成员离职后,及时在团队管理中移除其成员身份