Безпека: що НЕ кладемо у vault
4 категорії даних, які не повинні опинитись у твоєму Obsidian-сховищі. Privacy policy Anthropic простими словами + альтернативи для паролів і клієнтських NDA.
Якщо ми працюємо з клієнтами, маємо NDA, або просто не хочемо одного дня прокинутися і виявити свої паролі у тренувальних даних якоїсь моделі — цю статтю варто прочитати перед тим, як заливати документи у vault. П’ять хвилин зараз = пів року спокою потім.
Чому це не параноя
Я не з тих, хто кидає поняття “конфіденційність” як страшилку. Але є кілька реальних ризиків, які варто розуміти, якщо кладемо у свій vault серйозні матеріали:
- AI-компанії можуть змінити свої політики — те, що сьогодні “ми не тренуємо моделі на ваших даних”, завтра може стати “ми використовуємо анонімізовані фрагменти для покращення сервісу”.
- Vault бекапиться на GitHub (як ми робили у попередній статті). GitHub — це Microsoft. У них своя політика.
- Ноут можуть вкрасти, забути в аеропорту, віддати в ремонт. Якщо vault не шифрований — усе на блюдечку.
- Сім’я і колеги іноді користуються нашим ноутом. Сторонній лист про продаж клієнтських даних — це з тих речей, які не дуже хочеться, щоб побачив випадковий гість.
Тому базове правило: vault — це робочий стіл, не сейф. Робоча область, що бачить наш AI-помічник і яка бекапиться в інтернет. Усе, що не повинно туди потрапити — туди не кладемо.
4 категорії даних
Простий фреймворк, який працює:
| Категорія | Приклади | Куди класти |
|---|---|---|
| OK | Власні нотатки, ідеї, плани, чернетки, нотатки книг, наше CV, лінки. | Vault, без обмежень. |
| OK-but-careful | Робочі документи, чернетки контрактів, неконфіденційні клієнтські меморандуми, аналітика. | Vault, але не в публічних папках. Шифрований ноут. |
| NOT OK | Паролі, банківські дані, повні номери карток, CVV, паспортні скани, чужі особисті дані без згоди. | Ніколи. Спеціалізовані інструменти (нижче). |
| Шифрувати окремо | Клієнтський NDA-матеріал, контракти з суворою конфіденційністю, медичні дані. | Окремий зашифрований том, поза vault’ом. |
Просте правило для сумніву: якщо запитаєш себе “чи готові ми, щоб AI-компанія або GitHub мали технічну можливість це побачити?” — і відповідь “ні” — у vault не кладемо.
Anthropic privacy policy для non-coder
Anthropic — компанія, що робить Claude (і відповідно Claude Code). Їхня офіційна політика — на момент написання цієї статті:
- Claude Code, який працює локально через VS Code, відправляє наші запити і фрагменти файлів на сервери Anthropic, щоб модель могла відповідати. Це обов’язкова частина роботи — модель живе у них на серверах, а не у нас на ноуті.
- За замовчуванням (на платних тарифах) ці дані не використовуються для тренування моделей.
- Anthropic може зберігати запити для безпеки і моніторингу зловживань — на обмежений термін, без використання для тренування.
- Корпоративні тарифи мають додаткові гарантії і опції повного відключення логування.
Простими словами: для більшості задач — це OK. AI бачить наші файли в момент, коли ми його просимо щось зробити. Він не сидить і не читає їх постійно у фоні. Але — і це важливо — політики можуть змінюватися, і це поза нашим контролем. Тому категорії NOT OK і Шифрувати окремо мають бути off-limits в принципі, незалежно від того, що говорить поточна політика.
Перед роботою з найчутливішими даними — варто заглянути у актуальну privacy policy Anthropic. Це не довго, написано людською мовою.
Паролі — password managers
Найперше правило: паролі у vault не лежать. Ніколи. Жодного.
Замість цього — окремий інструмент, який створений для цього:
- KeePass — те, чим користуюся сам. Безкоштовно, open-source, локально (база лежить у нас на ноуті у вигляді одного зашифрованого файлу
.kdbx). Той самий файл можна синхронізувати між пристроями через хмарне сховище — Google Drive, Dropbox, Tailscale — на наш вибір. Майстер-пароль на сам файл, додатково 2FA через keyfile або YubiKey. Існують клієнти під усі платформи: KeePassXC (Win/Mac/Linux), Strongbox (iOS), KeePassDX (Android). - Bitwarden — безкоштовна альтернатива з хмарним sync з коробки. Зручніша для тих, хто не хоче розбиратися з самостійним sync.
- 1Password — платний, $3-5/міс, найзручніший UX. Підходить, якщо команді треба ділитися паролями.
Будь-який з них: майстер-пароль + 2FA + автозаповнення в браузері. Жоден пароль у vault, у нотатці, у Telegram самому собі, у Google Doc — ніколи. Це одне з тих правил, де компроміс не вартий.
Якщо зараз у нас паролі в Excel або текстовому файлі — закриваємо цю статтю, ставимо KeePass (чи будь-який з трьох), переносимо їх. Серйозно. Можна повернутися потім.
Зашифровані томи — VeraCrypt, Cryptomator
Для матеріалів категорії Шифрувати окремо (клієнтські NDA, контракти, медичні дані) — створюємо окремий зашифрований том. Це наче “сейф”, який лежить як один великий файл, але відкривається тільки з паролем.
- VeraCrypt — безкоштовний, перевірений, потужний. Створюємо файл-контейнер на 10 ГБ, монтуємо як окремий диск, працюємо з ним як зі звичайною папкою. Розмонтували — знову один зашифрований файл.
- Cryptomator — простіше за VeraCrypt, заточений під шифрування папок у хмарі (Dropbox, Google Drive). Якщо вже зберігаємо файли у хмарі і хочемо зашифрувати — це наш варіант.
Простий патерн:
- Створюємо зашифрований том з паролем 20+ символів (генеруємо у password manager).
- Кладемо туди клієнтські матеріали, які захищені NDA.
- Працюємо з ними тільки коли потрібно — відмонтували після завершення.
- У vault кладемо лиш свої нотатки/висновки з цих матеріалів — без копіювання самих чутливих файлів.
Робота з клієнтським NDA — practical patterns
Якщо ми консультанти, юристи, продаємо послуги — клієнти будуть давати нам матеріали під NDA. Як з ними працювати у системі з AI?
Патерн 1 — повна ізоляція. Найбезпечніший. Клієнтські файли лежать у зашифрованому томі, повністю поза vault’ом. AI взагалі не бачить їх. Працюємо з ними у звичайному PDF-рідері, Word, Excel — без Claude. У vault кладемо тільки свої deliverables (звіти, презентації, які створюємо для клієнта).
Патерн 2 — анонімізація. Працюємо з матеріалами у vault, але перед тим, як завантажити, видаляємо імена, назви компанії, конкретні цифри, замінюємо на плейсхолдери ([Клієнт], [Компанія X], [$N]). AI бачить структуру, не бачить identifying data.
Патерн 3 — окремий vault для клієнта. Заводимо окремий Obsidian-сховище для конкретного клієнта, з власним CLAUDE.md, окремим репо (або взагалі без репо, локально-тільки). Працюємо з ним як з тимчасовою робочою областю. Закриваємо роботу — архівуємо цілий vault.
Який обираємо — залежить від чутливості. Для більшості business-NDA (комерційні умови, продуктові плани) Патерну 2 вистачає. Для медичних, фінансових, кримінально-юридичних даних — тільки Патерн 1.
І важливе: читаємо свої NDA. Деякі прямо забороняють використання AI-інструментів з матеріалами клієнта. Якщо так — Патерн 1 без винятків, і повідомляємо клієнта про свої практики, перш ніж починати роботу.
Чек-лист перед заливкою у vault
Якщо файл проходить усі чотири питання — можна класти:
- Це мої власні дані або матеріали, які я маю право використовувати з AI-інструментами?
- Тут немає паролів, повних номерів карток, паспортних даних, медичних деталей?
- Якщо це клієнтський матеріал — у мене є усне або письмове підтвердження, що клієнт OK з AI-обробкою?
- Я готовий, що цей файл лежатиме на GitHub (приватно) і Anthropic технічно може його бачити в момент запитів?
Якщо хоч одна відповідь “ні” — або не кладемо, або кладемо після анонімізації, або кладемо у зашифрований том поза vault’ом.
Що буде далі
Тепер vault безпечний — ми знаємо, що туди можна, що не можна, і як працювати з клієнтськими даними без втрати сну. Наступне практичне питання — як редагувати ці нотатки не тільки на ноуті, але і з телефона, коли йдемо по місту і прилетіла ідея.
Якщо не хочемо пропустити — стежимо за мною у LinkedIn, там анонсую кожен наступний матеріал.
Маєте подібний проект і хочете обговорити?
30-хвилинна розмова — без презентацій, без обов'язків.
Discovery Call →