Безопасность

Как устроена защита данных в Verstak — коротко и по делу.

Код не покидает вашу машину

Агент выполняется локально: чтение репозитория, правки файлов, поиск и shell-команды происходят на вашем компьютере. Запросы к языковым моделям идут напрямую от вас к вашему провайдеру (OpenAI, Anthropic, Google, Ollama и др.). Наша инфраструктура не видит ни код, ни промпты, ни ответы моделей.

Ключи — в системном хранилище ОС

API-ключи провайдеров шифруются штатными средствами операционной системы: DPAPI в Windows, Keychain в macOS, Secret Service в Linux. Ключи не хранятся в открытом виде и никогда не передаются на наши серверы.

Минимум данных на сервере

Лицензионный сервер хранит только e-mail, хеш пароля (scrypt), состояние подписки и список привязанных устройств. Платёжные реквизиты обрабатывает платёжный партнёр — у нас они не появляются. Подробнее — в политике конфиденциальности.

Подписанные лицензии

Лицензии подписываются ключом Ed25519 и проверяются программой локально. Короткий срок действия лицензии и фоновое продление позволяют быстро отзывать доступ — например, при отключении устройства из кабинета.

Контроль действий агента

Каждая правка файла и каждая команда показываются до применения и требуют вашего подтверждения. Агент не выполняет скрытых действий в рабочем дереве.

Сообщить об уязвимости

Нашли проблему безопасности? Напишите на hello@verstak.ru с темой «security» — ответим в течение 48 часов. Добросовестным исследователям мы благодарны и не преследуем за ответственное раскрытие.