Home | Blog | Guide

Bảo mật Sugarbug: Dữ liệu của bạn vẫn là của bạn

Bảo mật Sugarbug: thu thập không gian người dùng, cam kết chuẩn y tế, không khoá dữ liệu, không huấn luyện mô hình. Cho doanh nghiệp và y tế.

By Ellis Keane · 2026-04-17

Có một câu chuyện cười lưu truyền trong ngành của chúng tôi: cách tốt nhất để có AI miễn phí là trở thành dữ liệu huấn luyện. Mỗi thế hệ nền tảng đều tìm ra cách kiếm tiền từ công việc của bạn nhanh hơn (và khéo léo hơn) thế hệ trước, và ở đâu đó dọc đường chúng ta đều đồng ý gọi điều đó là "tương lai". (Nghe nói điều này cũng được gọi là "tiến bộ".) Sugarbug được xây dựng trên nguyên tắc ngược lại, và bài viết này là hướng dẫn bảo mật Sugarbug bằng ngôn ngữ đơn giản: những gì chúng tôi hứa, những gì đang có trong mã hiện tại, những gì sẽ có khi ra mắt bản chính thức, và lý do chúng tôi giữ mình theo tiêu chuẩn khắt khe hơn bất kỳ cơ quan quản lý nào có thể yêu cầu.

Chúng tôi ở ngay giữa các quy trình nhạy cảm nhất của công ty bạn. Các luồng Slack mà nhóm cho rằng không ai sẽ đọc lại. Các cuộc tranh luận PR nơi ai đó thua một lập luận vào năm 2023 và vẫn chưa tha thứ cho người đánh giá. Bình luận Figma và đánh giá thiết kế, vé Linear, lời mời lịch, bản ghi cuộc họp, tất cả. Tiêu chuẩn trung thực duy nhất để giữ loại dữ liệu này là tiêu chuẩn cấp độ y tế: nghiêm khắc với bản thân như một bệnh viện với hồ sơ bệnh nhân, và nghiêm khắc hơn với kỹ thuật của chính mình so với bất kỳ quy định nào yêu cầu. Bất cứ điều gì thấp hơn là cược rằng không ai kiểm tra, và đặt cược chống lại việc bị kiểm tra là kế hoạch dài hạn tồi tệ.

Những gì Sugarbug có thể thấy (và những gì không thể)

Sugarbug hoạt động trong không gian người dùng. Nó thu thập với quyền của bạn, đọc từ các tài khoản của bạn và thấy chính xác những gì bạn thấy – không hơn không kém. Thuộc tính kiến trúc duy nhất này (nghe có vẻ nhàm chán lần đầu tiên bạn nghe, và nguy hiểm nặng nề lần thứ hai) có những hệ quả sâu sắc thực sự cho cách dữ liệu của bạn được xử lý.

Quản trị viên không thể đọc tin nhắn riêng tư của bạn. Trong hầu hết các sản phẩm nơi làm việc, khi bạn rời công ty, tài khoản cũ của bạn trở thành kho lưu trữ của chủ lao động. Họ có thể mở lại hộp thư đến của bạn, cuộn qua các DM Slack mà bạn nghĩ là riêng tư và đọc các email bạn đã gửi nhiều năm trước. Sugarbug đóng cánh cửa đó trước khi nó mở. Quản trị viên tổ chức chỉ có thể thấy những gì bản thân tổ chức đã có thể thấy – kênh công khai, tài liệu dùng chung, lịch nhóm. Các tích hợp riêng tư của bạn chỉ thuộc về bạn, dứt khoát.

Tham gia tổ chức là tức thì. Thành viên mới nhận được một nguồn tổng hợp được xử lý trước duy nhất kết hợp mọi thứ một thành viên thường sẽ thấy – kênh Slack công khai, ghi chú cuộc họp nhóm, tài liệu Notion dùng chung, vé Linear, thay đổi Figma, PR công khai – được loại bỏ trùng lặp và đã được lập chỉ mục bởi đồ thị tri thức tổng hợp của tổ chức. Bạn tham gia và ngay lập tức có ngữ cảnh chung của nhóm, mà không phải trả chi phí để nạp lại những gì đồng nghiệp của bạn đã xử lý.

Rời tổ chức là sạch sẽ. Khi bạn ngắt kết nối, bạn mất quyền truy cập vào nguồn tổng hợp của tổ chức và các tín hiệu của nó, và không có gì hơn. Các tích hợp riêng tư của bạn vẫn là của bạn. Lịch sử, ghi chú và đồ thị tri thức cá nhân của bạn đều đi theo bạn đến nơi tiếp theo.

Thu thập trong không gian người dùng là quyết định chịu tải trọng. Đó là điều làm cho tin nhắn riêng tư thực sự riêng tư, làm cho đồ thị tri thức có thể di chuyển, và biến "dữ liệu của bạn là của bạn" từ dòng tiếp thị thành thuộc tính của hệ thống.

Mô hình nhật ký

Hãy nghĩ về cách ai đó có thể giữ một cuốn sổ tay riêng tư suốt sự nghiệp. Từ năm này qua năm khác nó đầy ắp những người họ gặp, những suy nghĩ, cảm giác của một khoảnh khắc, những gì họ học được từ một tuần khó khăn. Cuốn nhật ký đó thuộc về người đã viết nó. Đó cũng là thứ khiến họ trở thành đồng nghiệp sắc bén, chu đáo và có giá trị hơn.

Sugarbug là cuốn nhật ký đó được mở rộng thành một đồ thị tri thức làm việc đầy đủ: ngữ cảnh riêng tư của bạn (DM, ghi chú, cuộc họp một-một) và ngữ cảnh chung của tổ chức (các luồng Slack trong kênh công khai, vé Linear, tài liệu dùng chung) được dệt vào một hệ thống cá nhân mà không làm mờ ranh giới giữa chúng. Riêng tư với cá nhân, hữu ích cho nhóm khi cá nhân chọn chia sẻ, và có thể di chuyển khi người đó chuyển đến nơi khác.

Vì ngữ cảnh riêng tư và công khai được lập chỉ mục cùng nhau thay vì trong các công cụ riêng biệt, làm việc công khai trở thành cách vận hành hiệu quả nhất (một tuyên bố lớn hơn nghe vẻ, đối với bất kỳ ai đã dành một tuần cho các bản cập nhật trạng thái). Bạn thực hiện công việc, ngữ cảnh chung tự cập nhật, và mô hình nhật ký riêng tư vẫn riêng tư.

Sugarbug là cuốn nhật ký đó được mở rộng thành một đồ thị tri thức làm việc đầy đủ, mà không làm mờ ranh giới giữa những gì là của bạn và những gì được chia sẻ.

Những gì có ngay hôm nay

Đây không phải là các mục trong lộ trình. Đây là những phần bảo mật Sugarbug đã có trong mã, đang chạy trong CI và đứng sau mọi commit được gửi ra.

Đăng nhập không cần mật khẩu. Xác thực chỉ qua OAuth với năm nhà cung cấp danh tính. Không có mật khẩu để lừa đảo, rò rỉ hoặc tái sử dụng.
Mã hoá ở mọi nơi. Các tải trọng nhạy cảm khi lưu trữ sử dụng AES-256-GCM đã xác thực; các kết nối sử dụng TLS 1.3 với HSTS preload trên mọi điểm cuối công khai.
Cách ly người thuê ở mọi tầng. Mọi truy vấn và tìm kiếm vector đều được giới hạn phạm vi cho người gọi, và rò rỉ giữa các người thuê được kiểm tra bởi các bài kiểm tra tự động trên mọi lần chạy CI.
Các hành động quản trị đều hiển thị. Nhật ký kiểm tra chống giả mạo bao gồm mạo danh, thay đổi tài khoản và xóa dữ liệu. Nếu kỹ sư Sugarbug cần vào tài khoản của bạn cho một yêu cầu hỗ trợ, nhật ký hiển thị chính xác ai, khi nào và tại sao.
Bảo mật là một phần của quy trình xây dựng. Các tự động hóa tùy chỉnh quét mọi commit để tìm bí mật bị rò rỉ, phụ thuộc có lỗ hổng và thoái lui chất lượng mã. Một thay đổi không qua được các kiểm tra đó sẽ không bao giờ được gửi ra.
Triển khai an toàn. Các đợt triển khai xanh-lam được kiểm tra sức khỏe tự động khôi phục nếu có gì đó sai, trước khi người dùng của bạn nhận ra.
Kênh được xác thực ở mọi nơi. Ứng dụng máy tính để bàn, tác nhân cục bộ chạy bên cạnh nó và máy chủ của chúng tôi giao tiếp qua các kênh được xác thực, mã hoá. Không bao giờ có lưu lượng văn bản rõ ràng.

Những gì ra mắt bổ sung

Danh sách "những gì có ngay hôm nay" là nền tảng. Ra mắt bản chính thức là nơi chúng tôi thêm các biện pháp kiểm soát mà người mua lớn gọi là "yêu cầu cơ bản" sau khi yêu cầu qua bảng tính 14 tab, và mà cá nhân chúng tôi muốn có trước khi bất cứ điều gì thực sự nhạy cảm đứng sau API. Đọc mọi thứ bên dưới như một cam kết ra mắt chắc chắn cho mọi người dùng, không phải danh sách mong muốn hay bị ẩn sau một thỏa thuận doanh nghiệp.

Khóa mã hóa do khách hàng quản lý. Hệ thống quản lý khóa của bạn giữ các khóa. Người vận hành Sugarbug không thể giải mã dữ liệu của bạn, ngay cả với quyền truy cập máy chủ đầy đủ – gần nhất mà một sản phẩm trí tuệ quy trình có thể trung thực tiếp cận zero-knowledge.
Mang LLM của riêng bạn. Định tuyến làm giàu qua nhà cung cấp bạn thích – OpenAI, Anthropic, Google hoặc mô hình mã nguồn mở tự lưu trữ. Lựa chọn của bạn, hóa đơn của bạn, mối quan hệ xử lý dữ liệu của bạn. Đối với các nhóm cần, làm giàu có thể chạy hoàn toàn trên một mô hình tự lưu trữ, từ đầu đến cuối.
PII bị loại bỏ trước mọi lần gọi LLM. Bất kể bạn định tuyến đến mô hình nào – của chúng tôi, của bạn, đám mây, kết hợp, hoàn toàn cục bộ – mọi tải trọng làm giàu đều có tên, email, số điện thoại, địa chỉ, khóa và mã nhận dạng được thay thế bằng token có thể đảo ngược trước khi đến mô hình. LLM thấy hình dạng dữ liệu của bạn, không bao giờ thấy con người bên trong đó. Sugarbug giải quyết các token khi nhận lại để đầu ra đến với đúng ngữ cảnh.
Lưu trữ thông tin xác thực được hỗ trợ bởi Keychain trên ứng dụng máy tính để bàn. Các token tích hợp của bạn sống ở nơi chỉ hệ điều hành của bạn có thể tiếp cận.
Tệp nhị phân ứng dụng được ký và chứng nhận với cập nhật tự động được xác minh chữ ký. Bạn có thể xác minh rằng Sugarbug bạn đang chạy là Sugarbug chúng tôi đã gửi.
Ghi nhật ký có cấu trúc cấp độ tuân thủ với các cửa sổ lưu giữ được xác định cho mọi lớp sự kiện.
Dự phòng đa vùng với khôi phục theo điểm thời gian tự động.

Chúng tôi đang đi về đâu

Ra mắt bản chính thức không phải là trạng thái cuối cùng. Tầm nhìn của chúng tôi vượt ra ngoài đó là một Sugarbug mà bất kỳ người dùng nào – không chỉ các doanh nghiệp có cơ sở hạ tầng chuyên dụng – có thể chạy hoàn toàn trên máy của họ. Mô hình của bạn, bộ nhớ của bạn, đồ thị tri thức của bạn, đồng bộ hóa chỉ những gì cần thiết. Trí tuệ quy trình dưới mái nhà của chính bạn, không có gì trên máy chủ của chúng tôi trừ khi bạn chọn đặt nó ở đó (bạn có thể chuyển đổi qua lại thoải mái). Kiến trúc đang được xây dựng với điểm đến đó trong tầm nhìn, và mọi quyết định chúng tôi đưa ra từ bây giờ đến khi ra mắt đều được kiểm tra dựa trên nó.

(Nếu điều đó nghe có vẻ tham vọng, tốt thôi. Một ngành đã lặng lẽ gửi dữ liệu của bạn vào các bộ huấn luyện trong một thập kỷ xứng đáng được một đề nghị phản biện tham vọng ở cấp độ thương mại.)

Lưu giữ dữ liệu là quyền kiểm soát của bạn

Sugarbug phản ánh chính sách lưu giữ của hệ thống nguồn của bạn. Nếu Slack của bạn giữ tin nhắn trong 90 ngày, bản sao của Sugarbug biến mất theo cùng lịch trình đó – trên mọi bề mặt, bao gồm nhiệm vụ, tóm tắt người, chuẩn bị cuộc họp và tìm kiếm vector. Bạn đặt cửa sổ một lần; chúng tôi tôn trọng nó ở mọi nơi.

Khi bạn xóa tài khoản, chúng tôi xóa mọi thứ, bao gồm cả các vector embedding.

Không có khóa trên cửa

Chúng tôi không muốn khoá bạn lại. Chúng tôi muốn bạn ở lại vì Sugarbug thực sự là trải nghiệm tốt nhất và làm cho bạn và nhóm của bạn sắc bén hơn bất kỳ lựa chọn thay thế nào – không phải vì rời đi khó khăn. Đó là lý do tại sao bạn có thể kéo dữ liệu của mình ra bất kỳ lúc nào, mà không cần trò chuyện với bộ phận bán hàng và không có nhóm giữ chân nào đứng giữa bạn và nút xuất. Mọi nhiệm vụ, mọi người, mọi cuộc họp đều có định dạng có thể di chuyển, sẵn sàng để đưa vào bất cứ điều gì tiếp theo.

Hãy thử các tùy chọn khác. Thách thức chúng tôi. Áp lực đó là một phần của cách chúng tôi trở nên tốt hơn, và làm cho cuộc sống làm việc của bạn dễ dàng hơn là toàn bộ mục đích.

Được xây dựng vượt mức cho doanh nghiệp

Các tổ chức lớn, được quản lý chặt chẽ có các đánh giá mua sắm kéo dài nhiều tháng và danh sách kiểm tra kéo dài hàng trăm câu hỏi. (Nếu bạn đã từng trả lời SIG Lite lúc 11 giờ đêm trước khi thỏa thuận đóng, tôi nợ bạn một ly.) Câu chuyện bảo mật Sugarbug được thiết kế để vượt qua chúng trong lần đầu tiên. Nếu bạn đã từng cố gắng vượt qua một trong số đó lúc nửa đêm, nửa tỉnh táo, lặng lẽ thương lượng với vũ trụ để có bảng tính nhỏ hơn, bạn đã biết phần này thuộc lòng – sản phẩm được xây dựng để bạn không phải lảng tránh bất kỳ điều gì trong đó.

Danh tính và quyền truy cập. SAML 2.0 SSO với Okta, Azure AD, Ping, Google Workspace và JumpCloud. Cấp phép và hủy cấp phép SCIM 2.0 để tự động xóa ngay khi HRIS của bạn đánh dấu một nhân viên là đã nghỉ việc. Chính sách MFA bắt buộc của tổ chức, thời gian chờ phiên có thể cấu hình và IP allow-listing ở cấp độ tổ chức.

Ranh giới dữ liệu bạn có thể xác minh.

Dữ liệu của bạn không huấn luyện mô hình. Không phải của chúng tôi, không phải của nhà cung cấp của chúng tôi, không phải của bất kỳ ai. Đây là cam kết kiến trúc, không phải một dòng trong hợp đồng – chúng tôi đảm bảo Lưu trữ Dữ liệu Bằng Không với mọi nhà cung cấp LLM mà chúng tôi định tuyến tín hiệu qua, và khách hàng cần đảm bảo mạnh hơn có thể chọn làm giàu ưu tiên cục bộ nơi không có dữ liệu thô nào rời khỏi vành đai của họ.
Lưu trú dữ liệu theo vùng tại Mỹ, EU và Vương quốc Anh. Dữ liệu của bạn vật lý ở lại trong vùng bạn chọn. Không có bản sao xuyên biên giới, không có "hầu hết ở đó".
Danh sách bộ xử lý phụ được công bố với thông báo trước khi thay đổi và cửa sổ để bạn phản đối trước khi thay đổi có hiệu lực.
DPA được ký sẵn với Điều khoản Hợp đồng Tiêu chuẩn cho các chuyển giao xuyên biên giới, và Đánh giá Tác động Chuyển giao sẵn sàng cho nhóm pháp lý của bạn.

Mạng và vận hành.

Mạng riêng qua AWS PrivateLink, Azure Private Endpoints và GCP Private Service Connect. Đối với khách hàng yêu cầu, lưu lượng giữa mạng của bạn và Sugarbug không bao giờ chạm vào internet công cộng.
Phát trực tuyến nhật ký kiểm tra vào Splunk, Datadog, Microsoft Sentinel hoặc Chronicle. SOC của bạn thấy cùng các sự kiện chúng tôi thấy.
Hỗ trợ lưu giữ pháp lý và eDiscovery cho dữ liệu trong tranh chấp pháp lý, bao gồm đình chỉ lưu giữ và xuất có phạm vi.
Cơ sở hạ tầng đơn người thuê chuyên dụng có sẵn cho các triển khai nhạy cảm nhất.
Thông báo vi phạm theo hợp đồng trong 24 giờ – thấp hơn nhiều so với mức 72 giờ của GDPR.
Mục tiêu RTO và RPO được công bố được hỗ trợ bởi kế hoạch khắc phục thảm họa được ghi lại và sao lưu đa vùng.
Nhân viên được kiểm tra lý lịch với quyền truy cập vào môi trường chính thức, đào tạo bảo mật hàng năm và đánh giá quyền truy cập hàng quý.

Xác minh theo điều kiện của bạn.

Kiểm tra xâm nhập bên thứ ba hàng năm bởi một công ty được công nhận. Tóm tắt điều hành là công khai; báo cáo đầy đủ có sẵn theo NDA.
Chương trình tiền thưởng lỗi công khai.
Trung tâm tin cậy tại một URL: báo cáo SOC 2, chứng chỉ ISO/IEC 27001, tóm tắt kiểm tra xâm nhập, danh sách bộ xử lý phụ, mẫu DPA, trang trạng thái bảo mật và thư cầu nối kiểm toán mới nhất.
Phản hồi SIG Lite, CAIQ và VSA-Full được điền sẵn sẵn sàng cho nhóm mua sắm của bạn.

Được xây dựng vượt mức cho y tế

Bệnh viện và hệ thống y tế mang một loại rủi ro khác so với doanh nghiệp thông thường. Trong SaaS thông thường, vi phạm là sự cố; trong môi trường lâm sàng, vi phạm có thể kết thúc ở đâu đó giữa vấn đề cung cấp dịch vụ chăm sóc và điều tra liên bang, và khoảng cách giữa hai kết quả đó không phải là nơi chúng tôi muốn ngồi vào. Sugarbug được xây dựng với sự khác biệt đó trong tâm trí. Các cam kết bên dưới không bị chặn sau mức giá cao nhất của chúng tôi, vì "BAA chỉ dành cho doanh nghiệp" luôn là một động thái thầm lặng đầy tính toán trong ngành này.

Business Associate Agreement có sẵn ở mọi cấp trả phí, được ký trước khi bất kỳ Thông tin Y tế Được Bảo vệ nào chạy qua tài khoản của bạn. Không bị chặn chỉ dành cho cấp doanh nghiệp.
Kiểm soát truy cập tối thiểu cần thiết với ghi nhật ký kiểm tra có nhận thức về PHI được giữ trong sáu năm để đáp ứng các yêu cầu HIPAA và HITECH.
Thông báo vi phạm phù hợp HITECH với dòng thời gian được xác định và quy trình được ghi lại.
Cơ sở hạ tầng đơn người thuê chuyên dụng có sẵn cho các triển khai nơi lưu trữ đa người thuê dùng chung không đáp ứng các tiêu chuẩn nội bộ của bạn.

Lộ trình tuân thủ

Kiểm toán không vui. Việc phát hiện ra rằng nhà cung cấp "bảo mật theo mặc định" bạn mua năm ngoái có nghĩa là "bảo mật trong bộ bán hàng" cũng không vui. Khi ra mắt bản chính thức, Sugarbug hướng tới:

SOC 2 Type II – bảo mật, khả dụng và bí mật.
ISO/IEC 27001 – quản lý bảo mật thông tin quốc tế.
HIPAA cho khách hàng có Business Associate Agreements.
GDPR – khả năng di chuyển dữ liệu, quyền xóa và cơ sở pháp lý xuyên suốt.

Các quyết định kiến trúc chúng tôi đã đưa ra trực tiếp theo dõi đến các biện pháp kiểm soát mà các khung này yêu cầu: cách ly người thuê ở mọi tầng, ghi nhật ký kiểm tra đầu cuối, mã hóa sẵn sàng phong bì, ngữ nghĩa xóa có thể xác minh và mô hình thu thập trong không gian người dùng giữ quản trị viên ra khỏi dữ liệu riêng tư theo thiết kế. Bảo mật Sugarbug không phải là chương chúng tôi thêm vào cuối; đó là hình dạng của sản phẩm. Con đường ngắn nhất trung thực để vượt qua kiểm toán là xây dựng sản phẩm theo cách kiểm toán viên ước mọi người sẽ làm, và chúng tôi đang cố gắng làm điều đó ngay từ lần đầu.

Nếu bạn muốn một lớp trí tuệ quy trình xử lý dữ liệu của bạn như hồ sơ bệnh nhân chứ không phải như nguyên liệu huấn luyện, đó là những gì chúng tôi đang xây dựng. Hãy thử Sugarbug tại sugarbug.ai.

Câu hỏi thường gặp

Các câu hỏi xuất hiện nhiều nhất về bảo mật Sugarbug, với câu trả lời rõ ràng.

Sugarbug có huấn luyện mô hình AI bằng dữ liệu của tôi không?

Không, và sẽ không bao giờ. Đây là cam kết kiến trúc, không phải hợp đồng. Khi ra mắt bản chính thức, Lưu trữ Dữ liệu Bằng Không được áp dụng với mọi nhà cung cấp LLM mà chúng tôi định tuyến qua; khách hàng cần bảo mật chặt hơn có thể chọn tùy chọn làm giàu ưu tiên cục bộ.

Chủ lao động có thể đọc tin nhắn Slack riêng tư của tôi qua Sugarbug không?

Không. Sugarbug chỉ thu thập với quyền của bạn. Quản trị viên tổ chức không thấy gì mà tổ chức không thể thấy mà không có Sugarbug – kênh công khai, tài liệu dùng chung, lịch nhóm. Các tích hợp riêng tư của bạn chỉ thuộc về bạn.

Dữ liệu Sugarbug của tôi sẽ ra sao khi tôi rời công ty?

Bạn giữ lại đồ thị tri thức riêng tư và mang theo khi rời đi. Việc rời tổ chức xóa quyền truy cập của bạn vào nguồn tổng hợp và tín hiệu của tổ chức đó; khi quyền truy cập vào các công cụ được kết nối bị xóa, lịch sử của chúng cũng bị xóa. Lịch sử cá nhân và ghi chú của bạn đi cùng bạn.

Sugarbug giữ dữ liệu cá nhân ra khỏi các lời nhắc AI như thế nào?

Khi ra mắt bản chính thức, PII được xóa khỏi mọi tải trọng làm giàu trước khi mô hình nhìn thấy – dù là mô hình của chúng tôi, của bạn, nhà cung cấp đám mây hay hoàn toàn cục bộ. LLM thấy hình dạng vấn đề của bạn, không bao giờ thấy con người hay dữ liệu bên trong đó.

Sugarbug có tuân thủ SOC 2 và HIPAA không?

Khi ra mắt bản chính thức, Sugarbug hướng tới SOC 2, ISO/IEC 27001, HIPAA (với BAA) và GDPR. BAA có sẵn ở mọi cấp trả phí, không bị khoá sau mức giá doanh nghiệp.