Home | Blog | Guide

Sugarbug 安全：您的資料始終屬於您

Sugarbug 安全詳解：使用者空間採集、醫療級承諾、無鎖定、不用您的資料訓練模型。專為企業與醫療機構構建。

By Ellis Keane · 2026-04-17

我們行業裡流傳著一個笑話：獲得免費 AI 的最佳方式就是成為訓練資料。每一代平臺都在想方設法從你的工作中獲益，速度更快（手法更隱蔽）。不知從何時起，我們都預設把這稱為「未來」。（據說這也叫「進步」。）Sugarbug 建立在截然相反的原則之上。這篇文章是 Sugarbug 安全的通俗導覽：我們承諾什麼、程式碼裡現在有什麼、正式上線時會新增什麼，以及為什麼我們堅守的標準比任何監管機構的要求都要嚴格。

我們處於貴公司最敏感工作流的核心地帶。團隊以為不會有人再回頭翻看的 Slack 討論串。某人在 2023 年輸了一場爭論、至今仍未原諒審閱者的 PR 討論。Figma 評論與設計審查、Linear 工單、日曆邀請、會議記錄，應有盡有。保管這類資料唯一誠實的標準是醫療級標準：對自己像醫院對待病歷那樣嚴格，對自身工程的要求比任何法規都更苛刻。低於這個標準不過是賭沒人會來檢查，而賭不被檢查是極差的長期規劃。

Sugarbug 能看到什麼（以及看不到什麼）

Sugarbug 在使用者空間運行。它以您的權限採集資料，從您的帳號讀取，只看到您能看到的內容––不多也不少。這一單一的架構特性（第一次聽到時像是廢話，第二次聽到時才發現它承載著一切）對您的資料如何被處理具有深遠影響。

管理員無法讀取您的私訊。 在大多數工作場所產品中，當您離職時，舊帳號會成為雇主的檔案。他們可以重新打開您的收件匣，翻看您以為是私密的 Slack 私訊，閱讀您數年前發送的郵件。Sugarbug 在這扇門打開之前就將其關閉。組織管理員只能看到組織本來就能看到的內容––公開頻道、共享文件、群組日曆。您的私人整合僅屬於您，句號。

加入組織是即時的。 新成員會獲得一個預處理的聚合來源，匯集了成員通常能看到的所有內容––公開 Slack 頻道、群組會議記錄、共享 Notion 文件、Linear 工單、Figma 變更、公開 PR––去重完畢，並已由組織的複合知識圖譜完成索引。您加入後立即擁有團隊的共同情境，無需為重新攝取同事已處理的內容付出額外代價。

離開組織是乾淨的。 中斷連接後，您失去對該組織聚合來源及其訊號的存取權限，僅此而已。您的私人整合依然屬於您。您的歷史記錄、筆記和個人知識圖譜都會隨您轉移到下一個地方。

使用者空間採集是承載一切的關鍵決策。正是它讓私訊真正私密，讓可攜帶的知識圖譜真正可攜帶，並將「您的資料屬於您」從行銷口號變成系統屬性。

日記模型

想像一個人在整個職業生涯中保持著一本私人筆記本。年復一年，它記滿了遇見的人、腦海中的想法、某個時刻的感受、從艱難一週中學到的東西。那本日記屬於寫下它的人。它也是讓他們成為更敏銳、更體貼、更有價值的同事的東西。

Sugarbug 就是那本日記，擴展成了一個完整的工作知識圖譜：您的私人情境（私訊、筆記、一對一會談）與組織的共享情境（公開頻道中的 Slack 討論串、Linear 工單、共享文件）交織成一個個人系統，而不模糊兩者之間的界線。對個人而言是私密的，當個人選擇分享時對團隊有益，當人員流動時可隨身攜帶。

由於私人和公開情境被統一索引，而非分散在獨立工具中，公開工作成為最高效的營運方式（對於任何曾在狀態更新上耗費整整一週的人來說，這個說法比聽起來更有份量）。您完成工作，共享情境自動更新，私人日記模型保持私密。

Sugarbug 就是那本日記，擴展成了一個完整的工作知識圖譜，而不模糊屬於您與屬於共享之間的界線。

今天已有的功能

這些不是藍圖項目。這些是 Sugarbug 安全已存在於程式碼中、在 CI 中運行、並支撐著每次提交的元件。

無密碼登入。 認證僅透過五個身份供應商的 OAuth 實現。沒有可被釣魚、洩露或重複使用的密碼。
處處加密。 靜態敏感載荷使用經過認證的 AES-256-GCM；連接在每個公開端點使用帶 HSTS 預載入的 TLS 1.3。
每個層級的租戶隔離。 每個查詢和每次向量搜尋都限定於呼叫者，跨租戶洩漏在每次 CI 執行時由自動化測試探測。
管理操作可見。 防竄改稽核日誌涵蓋身份冒充、帳號變更和資料清除。如果 Sugarbug 工程師因支援請求需要進入您的帳號，日誌會準確顯示是誰、何時、為何。
安全是建構流程的一部分。 自訂自動化在每次提交時掃描洩露的金鑰、有漏洞的相依套件和程式碼品質退化。未通過這些檢查的變更永遠不會發布。
安全部署。 經過健康檢查的藍綠發布會在出現問題時自動回滾，在您的使用者察覺之前。
處處經過認證的通道。 桌面客戶端、與之並行運行的本地代理以及我們的伺服器透過經過認證的加密通道通訊。永遠不會有明文流量。

發布時新增的內容

「今天已有的功能」清單是基礎。正式上線是我們新增大客戶在 14 個標籤頁電子試算表中逐一要求後稱之為「基本要求」的控制措施的地方，也是我們個人希望在任何真正敏感的內容放到 API 背後之前就到位的內容。請將以下所有內容視為面向每位使用者的明確上線承諾，而不是願望清單或隱藏在企業協議背後的內容。

客戶管理的加密金鑰。 您的金鑰管理系統持有金鑰。Sugarbug 營運者即使擁有完整的伺服器存取權限也無法解密您的資料––這是工作流智慧產品能誠實地最接近零知識的狀態。
自帶 LLM。 透過您首選的供應商路由資料增強––OpenAI、Anthropic、Google 或自託管的開源模型。您的選擇、您的帳單、您的資料處理關係。對於有需要的團隊，資料增強可以完全在自託管模型上端對端運行。
每次 LLM 呼叫前剝除 PII。 無論您路由到哪個模型––我們的、您的、雲端、混合還是完全本地化––每個增強資料包中的姓名、郵件、電話號碼、地址、金鑰和識別碼在到達模型前都會被替換為可逆令牌。LLM 看到的是您資料的結構，而非其中的人員資訊。Sugarbug 在收到回應時解析令牌，使輸出附帶正確的情境。
桌面客戶端上的 Keychain 支援憑證儲存。 您的整合令牌儲存在只有您的作業系統才能存取的地方。
經過簽名和公證的應用程式二進位檔案，配備簽名驗證的自動更新。您可以驗證您運行的 Sugarbug 正是我們發布的 Sugarbug。
合規級結構化日誌記錄，為每個事件類別定義了保留窗口。
多區域備援，具備自動時間點恢復功能。

我們的方向

正式上線不是終點。我們在其之外的遠景是：任何使用者––不只是擁有專用基礎設施的企業––都可以完全在自己的機器上運行 Sugarbug。您的模型、您的儲存空間、您的知識圖譜，只同步必須同步的內容。工作流智慧在您自己的屋簷下，除非您選擇將資料放在我們的伺服器上，否則那裡什麼都沒有（您可以隨時自由切換）。架構正在以這個目的地為目標構建，我們從現在到發布所做的每一個決策都要經過它的檢驗。

（如果這聽起來很宏大，很好。一個十年來悄悄將您的資料發送到訓練集的行業，值得一個宏大的商業級反提案。）

資料保留由您掌控

Sugarbug 遵循您來源系統的保留策略。如果您的 Slack 將訊息保留 90 天，Sugarbug 的副本也按同樣的時間表消失––涵蓋每個介面，包括任務、人員摘要、會議準備和向量搜尋。您設置一次窗口；我們在任何地方都遵守它。

刪除帳號時，我們刪除一切，包括向量嵌入。

門上沒有鎖

我們不想鎖定您。我們希望您留下來，是因為 Sugarbug 真的是最佳體驗，讓您和您的團隊比任何替代方案都更敏銳––而不是因為離開很困難。這就是為什麼您可以在任何時候匯出資料，無需與銷售團隊交談，也沒有留存團隊站在您和匯出按鈕之間。每項任務、每個人員、每次會議都以可攜帶格式提供，隨時可以轉移到下一個地方。

嘗試其他選擇。向我們發起挑戰。這種壓力是我們不斷進步的一部分，讓您的工作生活更輕鬆才是一切的目的。

為企業超額構建

大型受監管組織的採購審查會持續數月，審查清單動輒數百個問題。（如果您曾在交易結束前一晚的 11 點填寫過 SIG Lite，我欠您一杯。）Sugarbug 的安全敘事設計為在第一次審查中就能通過。如果您曾經在午夜、半睡半醒、默默祈願表格更小地努力完成這一切，您已經對這一部分爛熟於心––產品的構建方式讓您不必對其中任何內容打馬虎眼。

身份與存取。 支援 Okta、Azure AD、Ping、Google Workspace 和 JumpCloud 的 SAML 2.0 SSO。SCIM 2.0 自動佈建與取消佈建，當您的 HRIS 將員工標記為離職時立即完成下線。組織級強制 MFA 政策、可設定的工作階段逾時以及組織級 IP 白名單。

可驗證的資料邊界。

您的資料不訓練任何模型。 不訓練我們的，不訓練供應商的，不訓練任何人的。這是架構承諾，而非合約條款––我們與路由訊號經過的每個 LLM 供應商簽訂零資料留存協議；需要更強保障的客戶可選擇本地優先的資料增強方案，原始資料不會離開其邊界。
區域資料駐留，涵蓋美國、歐盟和英國。您的資料實體上保留在您選擇的區域。沒有跨境副本，沒有「大體上留在那裡」。
已發布的子處理商名單，變更時提前通知，並為您提供在變更生效前提出異議的窗口。
預簽署的資料處理協議，包含跨境傳輸的標準合約條款，以及為您的法律團隊準備好的傳輸影響評估。

網路與營運。

透過 AWS PrivateLink、Azure Private Endpoints 和 GCP Private Service Connect 的私有網路。對於有此需求的客戶，您的網路與 Sugarbug 之間的流量永不接觸公共網際網路。
稽核日誌串流至 Splunk、Datadog、Microsoft Sentinel 或 Chronicle。您的 SOC 看到的事件與我們相同。
法律保全和電子證據開示支援，適用於訴訟中的資料，包括保留暫停和範圍化匯出。
專用單租戶基礎設施，適用於最高敏感度的部署。
合約規定 24 小時內違規通知––遠低於 GDPR 72 小時的底線。
已發布的 RTO 和 RPO 目標，有文件化的災難復原計劃和跨區域備份作為支撐。
擁有生產存取權限的經背景調查員工，接受年度安全培訓和季度存取權限審查。

按您的條款驗證。

由知名機構進行的年度第三方滲透測試。執行摘要公開；完整報告在 NDA 下提供。
公開漏洞賞金計劃。
單一 URL 的信任中心：SOC 2 報告、ISO/IEC 27001 證書、滲透測試摘要、子處理商名單、資料處理協議範本、安全狀態頁面及最新稽核橋接函。
預填寫的 SIG Lite、CAIQ 和 VSA-Full 回覆，供您的採購團隊使用。

為醫療行業超額構建

醫院和醫療系統承擔著與普通企業不同類型的風險。在普通 SaaS 中，資料外洩是事故；在臨床環境中，資料外洩可能演變為介於醫療服務問題和聯邦調查之間的某種情況，而我們不想置身於這兩種結果的夾縫中。Sugarbug 的構建將這一差異銘記在心。下列承諾不限於我們定價中最高檔次，因為「BAA 僅限企業」在這個行業中一直是一種悄然自私的做法。

每個付費方案均可獲得業務合作協議，在任何受保護健康資訊流經您的帳號之前簽署。無企業專屬限制。
最小必要存取控制，配備 PHI 感知稽核日誌，保留六年以滿足 HIPAA 和 HITECH 要求。
符合 HITECH 的違規通知，有明確的時間線和有文件記錄的工作流。
專用單租戶基礎設施，適用於共享多租戶託管無法滿足內部標準的部署。

合規路徑

稽核不有趣。發現去年購買的「預設安全」供應商其實只在銷售簡報中安全，也不有趣。正式上線時，Sugarbug 目標達到：

SOC 2 Type II – 安全性、可用性和保密性。
ISO/IEC 27001 – 國際資訊安全管理。
面向擁有業務合作協議的客戶的 HIPAA。
GDPR – 全程資料可攜帶性、刪除權和合法依據。

我們已做出的架構決策直接對應這些框架所要求的控制措施：每個層級的租戶隔離、端對端稽核日誌、信封式加密、可驗證的刪除語義，以及從設計上將管理員隔離在私有資料之外的使用者空間採集模型。Sugarbug 安全不是最後附加的章節，它是產品的形態。通過稽核最短的誠實路徑，就是按稽核員希望每個人都會做的方式構建產品，我們正努力在第一次就做到。

如果您想要一個像對待病歷一樣對待您資料的工作流智慧層，而不是將其作為訓練素材，那正是我們正在構建的。在 sugarbug.ai 試用 Sugarbug。

常見問題

關於 Sugarbug 安全最常被問到的問題，配以直接的解答。

Sugarbug 會用我的資料訓練 AI 模型嗎？

不會，永遠不會。這是架構決策，而非合約條款。正式上線時，我們與每個路由經過的 LLM 供應商均簽訂零資料留存協議；需要更嚴格保障的客戶可選擇本地優先的資料增強方案。

我的雇主能透過 Sugarbug 讀取我的私訊嗎？

不能。Sugarbug 僅在您的授權下採集資料。組織管理員只能看到組織本來就能看到的內容––公開頻道、共享文件、群組日曆。您的私人整合僅屬於您自己。

離職後我的 Sugarbug 資料會怎樣？

您保留私人知識圖譜並帶走它。離開組織將移除您對該組織聚合來源及其訊號的存取權限；當與已連接工具的存取權被刪除時，相關歷史記錄也會被刪除。您的個人歷史和筆記將隨您一同轉移。

Sugarbug 如何防止個人資料進入 AI 提示詞？

正式上線時，每個增強資料包中的 PII 在模型看到之前就會被剝除––無論是我們的模型、您的模型、雲端供應商還是完全本地化的模型。LLM 看到的是您問題的結構，而非其中涉及的人員或資料。

Sugarbug 是否符合 SOC 2 和 HIPAA？

正式上線時，Sugarbug 目標達到 SOC 2、ISO/IEC 27001、HIPAA（含 BAA）和 GDPR 合規。BAA 適用於所有付費方案，不限於企業定價。