Home | Blog | Guide

Sugarbug 安全：您的数据始终属于您

Sugarbug 安全详解：用户空间采集、医疗级承诺、无锁定、不用您的数据训练模型。专为企业和医疗机构构建。

By Ellis Keane · 2026-04-17

我们行业里流传着一个玩笑：获得免费 AI 的最佳方式就是成为训练数据。每一代平台都在想方设法从你的工作中获益，速度更快（手法更隐蔽）。不知从何时起，我们都默认把这称为"未来"。（据说这也叫"进步"。）Sugarbug 建立在截然相反的原则之上。这篇文章是 Sugarbug 安全的通俗导览：我们承诺什么、代码里现在有什么、正式上线时会添加什么，以及为什么我们坚守的标准比任何监管机构的要求都要严格。

我们处于贵公司最敏感工作流的核心地带。团队以为不会有人再回头翻看的 Slack 讨论串。某人在 2023 年输了一场争论、至今仍未原谅审阅者的 PR 讨论。Figma 评论与设计审查、Linear 工单、日历邀请、会议记录，应有尽有。保管这类数据唯一诚实的标准是医疗级标准：对自己像医院对待病历那样严格，对自身工程的要求比任何法规都更苛刻。低于这个标准不过是赌没人会来检查，而赌不被检查是极差的长期规划。

Sugarbug 能看到什么（以及看不到什么）

Sugarbug 在用户空间运行。它以您的权限采集数据，从您的账户读取，只看到您能看到的内容––不多也不少。这一单一的架构特性（第一次听到时像是废话，第二次听到时才发现它承载着一切）对您的数据如何被处理具有深远影响。

管理员无法读取您的私信。 在大多数工作场所产品中，当您离职时，旧账户会成为雇主的档案。他们可以重新打开您的收件箱，翻看您以为是私密的 Slack 私信，阅读您数年前发送的邮件。Sugarbug 在这扇门打开之前就将其关闭。组织管理员只能看到组织本来就能看到的内容––公开频道、共享文档、群组日历。您的私人集成仅属于您，句号。

加入组织是即时的。 新成员会获得一个预处理的聚合来源，汇集了成员通常能看到的所有内容––公开 Slack 频道、群组会议记录、共享 Notion 文档、Linear 工单、Figma 变更、公开 PR––去重完毕，并已由组织的复合知识图谱完成索引。您加入后立即拥有团队的共同上下文，无需为重新摄取同事已处理的内容付出额外代价。

离开组织是干净的。 断开连接后，您失去对该组织聚合来源及其信号的访问权限，仅此而已。您的私人集成依然属于您。您的历史记录、笔记和个人知识图谱都会随您转移到下一个地方。

用户空间采集是承载一切的关键决策。正是它让私信真正私密，让可携带的知识图谱真正可携带，并将"您的数据属于您"从营销口号变成系统属性。

日记模型

想象一个人在整个职业生涯中保持着一本私人笔记本。年复一年，它记满了遇见的人、脑海中的想法、某个时刻的感受、从艰难一周中学到的东西。那本日记属于写下它的人。它也是让他们成为更敏锐、更体贴、更有价值的同事的东西。

Sugarbug 就是那本日记，扩展成了一个完整的工作知识图谱：您的私人上下文（私信、笔记、一对一会谈）与组织的共享上下文（公开频道中的 Slack 讨论串、Linear 工单、共享文档）交织成一个个人系统，而不模糊两者之间的界线。对个人而言是私密的，当个人选择分享时对团队有益，当人员流动时可随身携带。

由于私人和公开上下文被统一索引，而非分散在独立工具中，公开工作成为最高效的运营方式（对于任何曾在状态更新上耗费一整周的人来说，这个说法比听起来更有份量）。您完成工作，共享上下文自动更新，私人日记模型保持私密。

Sugarbug 就是那本日记，扩展成了一个完整的工作知识图谱，而不模糊属于您与属于共享之间的界线。

今天已有的功能

这些不是路线图项目。这些是 Sugarbug 安全已存在于代码中、在 CI 中运行、并支撑着每次提交的组件。

无密码登录。 认证仅通过五个身份提供商的 OAuth 实现。没有可被钓鱼、泄露或重复使用的密码。
处处加密。 静态敏感载荷使用经过认证的 AES-256-GCM；连接在每个公开端点使用带 HSTS 预加载的 TLS 1.3。
每个层级的租户隔离。 每个查询和每次向量搜索都限定于调用者，跨租户泄漏在每次 CI 运行时由自动化测试探测。
管理操作可见。 防篡改审计日志涵盖身份冒充、账户变更和数据清除。如果 Sugarbug 工程师因支持请求需要进入您的账户，日志会准确显示是谁、何时、为何。
安全是构建流水线的一部分。 自定义自动化在每次提交时扫描泄露的密钥、有漏洞的依赖项和代码质量退化。未通过这些检查的变更永远不会发布。
安全部署。 经过健康检查的蓝绿发布会在出现问题时自动回滚，在您的用户察觉之前。
处处经过认证的通道。 桌面客户端、与之并行运行的本地代理以及我们的服务器通过经过认证的加密通道通信。永远不会有明文流量。

发布时新增的内容

"今天已有的功能"列表是基础。正式上线是我们添加大客户在 14 标签页电子表格中逐一要求后称之为"基本要求"的控制措施的地方，也是我们个人希望在任何真正敏感的内容放到 API 背后之前就到位的内容。请将以下所有内容视为面向每位用户的明确上线承诺，而不是愿望清单或隐藏在企业协议背后的内容。

客户管理的加密密钥。 您的密钥管理系统持有密钥。Sugarbug 运营者即使拥有完整的服务器访问权限也无法解密您的数据––这是工作流智能产品能诚实地最接近零知识的状态。
自带 LLM。 通过您首选的提供商路由数据增强––OpenAI、Anthropic、Google 或自托管的开源模型。您的选择、您的账单、您的数据处理关系。对于有需要的团队，数据增强可以完全在自托管模型上端对端运行。
每次 LLM 调用前剥离 PII。 无论您路由到哪个模型––我们的、您的、云端、混合还是完全本地化––每个增强数据包中的姓名、邮件、电话号码、地址、密钥和标识符在到达模型前都会被替换为可逆令牌。LLM 看到的是您数据的结构，而非其中的人员信息。Sugarbug 在收到响应时解析令牌，使输出附带正确的上下文。
桌面客户端上的 Keychain 支持凭证存储。 您的集成令牌存储在只有您的操作系统才能访问的地方。
经过签名和公证的应用程序二进制文件，配备签名验证的自动更新。您可以验证您运行的 Sugarbug 正是我们发布的 Sugarbug。
合规级结构化日志记录，为每个事件类别定义了保留窗口。
多区域冗余，具备自动时间点恢复功能。

我们的方向

正式上线不是终点。我们在其之外的远景是：任何用户––不只是拥有专用基础设施的企业––都可以完全在自己的机器上运行 Sugarbug。您的模型、您的存储、您的知识图谱，只同步必须同步的内容。工作流智能在您自己的屋檐下，除非您选择将数据放在我们的服务器上，否则那里什么都没有（您可以随时自由切换）。架构正在以这个目的地为目标构建，我们从现在到发布所做的每一个决策都要经过它的检验。

（如果这听起来很宏大，很好。一个十年来悄悄将您的数据发送到训练集的行业，值得一个宏大的商业级反提案。）

数据保留由您掌控

Sugarbug 遵循您源系统的保留策略。如果您的 Slack 将消息保留 90 天，Sugarbug 的副本也按同样的时间表消失––涵盖每个界面，包括任务、人员摘要、会议准备和向量搜索。您设置一次窗口；我们在任何地方都遵守它。

删除账户时，我们删除一切，包括向量嵌入。

门上没有锁

我们不想锁定您。我们希望您留下来，是因为 Sugarbug 真的是最佳体验，让您和您的团队比任何替代方案都更敏锐––而不是因为离开很困难。这就是为什么您可以在任何时候导出数据，无需与销售团队交谈，也没有留存团队站在您和导出按钮之间。每项任务、每个人员、每次会议都以可携带格式提供，随时可以转移到下一个地方。

尝试其他选择。向我们发起挑战。这种压力是我们不断进步的一部分，让您的工作生活更轻松才是一切的目的。

为企业超额构建

大型受监管组织的采购审查会持续数月，审查清单动辄数百个问题。（如果您曾在交易结束前一晚的 11 点填写过 SIG Lite，我欠您一杯。）Sugarbug 的安全叙事设计为在第一次审查中就能通过。如果您曾经在午夜、半睡半醒、默默祈愿表格更小地努力完成这一切，您已经对这一部分烂熟于心––产品的构建方式让您不必对其中任何内容打马虎眼。

身份与访问。 支持 Okta、Azure AD、Ping、Google Workspace 和 JumpCloud 的 SAML 2.0 SSO。SCIM 2.0 自动配置与取消配置，当您的 HRIS 将员工标记为离职时立即完成下线。组织级强制 MFA 策略、可配置的会话超时以及组织级 IP 白名单。

可验证的数据边界。

您的数据不训练任何模型。 不训练我们的，不训练提供商的，不训练任何人的。这是架构承诺，而非合同条款––我们与路由信号经过的每个 LLM 提供商签订零数据留存协议；需要更强保障的客户可选择本地优先的数据增强方案，原始数据不会离开其边界。
区域数据驻留，涵盖美国、欧盟和英国。您的数据物理上保留在您选择的区域。没有跨境副本，没有"大体上留在那里"。
已发布的子处理商名单，变更时提前通知，并为您提供在变更生效前提出异议的窗口。
预签署的数据处理协议，包含跨境转移的标准合同条款，以及为您的法律团队准备好的转移影响评估。

网络与运营。

通过 AWS PrivateLink、Azure Private Endpoints 和 GCP Private Service Connect 的私有网络。对于有此需求的客户，您的网络与 Sugarbug 之间的流量永不接触公共互联网。
审计日志流式传输至 Splunk、Datadog、Microsoft Sentinel 或 Chronicle。您的 SOC 看到的事件与我们相同。
法律保全和电子证据开示支持，适用于诉讼中的数据，包括保留暂停和范围化导出。
专用单租户基础设施，适用于最高敏感度的部署。
合同规定 24 小时内违规通知––远低于 GDPR 72 小时的底线。
已发布的 RTO 和 RPO 目标，有文档化的灾难恢复计划和跨区域备份作为支撑。
拥有生产访问权限的经背景调查员工，接受年度安全培训和季度访问权限审查。

按您的条款验证。

由知名机构进行的年度第三方渗透测试。执行摘要公开；完整报告在 NDA 下提供。
公开漏洞赏金计划。
单一 URL 的信任中心：SOC 2 报告、ISO/IEC 27001 证书、渗透测试摘要、子处理商名单、数据处理协议模板、安全状态页面及最新审计桥接函。
预填写的 SIG Lite、CAIQ 和 VSA-Full 回复，供您的采购团队使用。

为医疗行业超额构建

医院和医疗系统承担着与普通企业不同类型的风险。在普通 SaaS 中，数据泄露是事故；在临床环境中，数据泄露可能演变为介于医疗服务问题和联邦调查之间的某种情况，而我们不想置身于这两种结果的夹缝中。Sugarbug 的构建将这一差异铭记在心。下列承诺不限于我们定价中最高档次，因为"BAA 仅限企业"在这个行业中一直是一种悄然自私的做法。

每个付费套餐均可获得业务合作协议，在任何受保护健康信息流经您的账户之前签署。无企业专属限制。
最小必要访问控制，配备 PHI 感知审计日志，保留六年以满足 HIPAA 和 HITECH 要求。
符合 HITECH 的违规通知，有明确的时间线和有文档记录的工作流。
专用单租户基础设施，适用于共享多租户托管无法满足内部标准的部署。

合规路径

审计不有趣。发现去年购买的"默认安全"供应商其实只在销售演示中安全，也不有趣。正式上线时，Sugarbug 目标达到：

SOC 2 Type II – 安全性、可用性和保密性。
ISO/IEC 27001 – 国际信息安全管理。
面向拥有业务合作协议的客户的 HIPAA。
GDPR – 全程数据可携带性、删除权和合法依据。

我们已做出的架构决策直接对应这些框架所要求的控制措施：每个层级的租户隔离、端到端审计日志、信封式加密、可验证的删除语义，以及从设计上将管理员隔离在私有数据之外的用户空间采集模型。Sugarbug 安全不是最后附加的章节，它是产品的形态。通过审计最短的诚实路径，就是按审计员希望每个人都会做的方式构建产品，我们正努力在第一次就做到。

如果您想要一个像对待病历一样对待您数据的工作流智能层，而不是将其作为训练素材，那正是我们正在构建的。在 sugarbug.ai 试用 Sugarbug。

常见问题

关于 Sugarbug 安全最常被问到的问题，配以直接的解答。

Sugarbug 会用我的数据训练 AI 模型吗？

不会，永远不会。这是架构决策，而非合同条款。正式上线时，我们与每个路由经过的 LLM 提供商均签订零数据留存协议；需要更严格保障的客户可选择本地优先的数据增强方案。

我的雇主能通过 Sugarbug 读取我的私信吗？

不能。Sugarbug 仅在您的授权下采集数据。组织管理员只能看到组织本来就能看到的内容––公开频道、共享文档、群组日历。您的私人集成仅属于您自己。

离职后我的 Sugarbug 数据会怎样？

您保留私人知识图谱并带走它。离开组织将移除您对该组织聚合来源及其信号的访问权限；当与已连接工具的访问权被删除时，相关历史记录也会被删除。您的个人历史和笔记将随您一同转移。

Sugarbug 如何防止个人数据进入 AI 提示词？

正式上线时，每个增强数据包中的 PII 在模型看到之前就会被剥离––无论是我们的模型、您的模型、云端提供商还是完全本地化的模型。LLM 看到的是您问题的结构，而非其中涉及的人员或数据。

Sugarbug 是否符合 SOC 2 和 HIPAA？

正式上线时，Sugarbug 目标达到 SOC 2、ISO/IEC 27001、HIPAA（含 BAA）和 GDPR 合规。BAA 适用于所有付费套餐，不限于企业定价。