API-ключи AI Helper — приватность, хранение и необязательная синхронизация
API-ключ — это учётные данные. Подключение AI Helper означает доверить эти данные JustZix, поэтому вы заслуживаете чёткого, честного ответа о том, где живут ключи, куда они путешествуют и за что отвечаете вы. Эта статья — такой ответ.
Где хранятся ваши ключи
Когда вы вставляете ключ в Настройки → AI Helper, он сохраняется в chrome.storage.local — локальном хранилище расширения на вашем устройстве. По умолчанию он остаётся там и нигде больше. За AI Helper нет аккаунта JustZix, и для его использования не нужно ничего регистрировать.
Почему вызовы идут через фоновый worker
Это важнейшее проектное решение, поэтому стоит быть точным. Когда AI Helper отправляет запрос к OpenAI, Anthropic или Gemini, запрос делает фоновый service worker расширения — а не JavaScript, выполняющийся на веб-странице.
Два конкретных следствия:
- Ваш ключ никогда не попадает на страницу. Собственные скрипты страницы — и любые сторонние скрипты на ней — выполняются в отдельном контексте. Ключ никогда не помещается в переменную, заголовок или запрос, которые может прочитать JavaScript страницы.
- Запрос обходит CSP страницы. Content Security Policy страницы может блокировать исходящие запросы к API провайдера. Поскольку вызов исходит из фонового контекста расширения, CSP страницы не применяется, так что AI Helper работает даже на наглухо закрытых сайтах.
JavaScript страницы --X--> API провайдера (никогда не происходит)
фон расширения -----> API провайдера (это и есть путь)
ключ остаётся здесь, не на страницеНеобязательная синхронизация — по каждому ключу, по умолчанию выключена
Скорее всего, вы используете JustZix больше чем на одной машине. Чтобы сделать ключи доступными везде, не раскрывая их по умолчанию, у каждого ключа есть собственный чекбокс «синхронизация», и по умолчанию он выключен.
- Снят (по умолчанию) — ключ никогда не покидает устройство. Если вы настраиваете новый компьютер, вы вводите ключ там заново. Максимум приватности, немного ручного труда.
- Установлен — ключ синхронизируется на ваши другие устройства через облако JustZix.
Это по каждому ключу, так что вы можете синхронизировать малорисковый ключ Gemini и оставить боевой ключ OpenAI только локальным. Ваш выбор, ключ за ключом.
Как работает канал синхронизации
Установленные на синхронизацию ключи не получают особой, отдельной трубы. Они путешествуют через тот же зашифрованный канал, который уже синхронизирует ваши папки, группы и правила — ключи ИИ просто ещё один тип сущности (ai_keys) в этой синхронизации. Так что ключи достигают ваших других устройств независимо от того, как было установлено расширение на каждом из них, используя инфраструктуру, на которую пользователи JustZix уже полагаются для своей библиотеки правил.
Честные рекомендации
Мы не станем притворяться, что API-ключ безрисковый. Несколько прямых пунктов:
- Это ваш ключ и ваш счёт. Токены, использованные AI Helper, провайдер выставляет на ваш аккаунт. JustZix никогда не видит этот биллинг.
- Относитесь к ключу как к паролю. Не вставляйте его в чаты, скриншоты или общие документы. Если ключ утёк, отзовите его в консоли провайдера и создайте новый.
- Установите лимит расходов. Большинство консолей провайдеров позволяют ограничить месячное использование. Сделайте это — это простейшая защита от сюрприза.
- Используйте ключ с ограниченной областью, если провайдер это поддерживает. Ключ, выделенный под AI Helper, легко ротировать, не ломая ничего другого.
- Синхронизация — это компромисс, а не приговор. Выключено — наиболее приватно; включено — наиболее удобно. Выбирайте по каждому ключу, с открытыми глазами.
Какой контекст страницы отправляется модели
Отдельно от обращения с ключами: когда вы общаетесь, AI Helper отправляет модели URL страницы, заголовок и HTML-фрагмент, а вызовы инструментов могут отправлять больше HTML страницы по необходимости. Это содержимое идёт выбранному вами провайдеру под вашим ключом и по его политике данных. Если вы на чувствительной внутренней странице, помните об этом, прежде чем просить модель её осмотреть.
Чего JustZix не делает
- Никакой размещённой JustZix модели, никакой перепродажи токенов, никакого проксирования ваших промптов через серверы JustZix — вызовы идут прямо из контекста расширения вашего браузера к провайдеру.
- Никакого требования аккаунта для использования AI Helper.
- Никакой синхронизации ключа, который вы явно не отметили.
Смотри также
- Настройка AI Helper — получение и ввод ключа
- Знакомьтесь, AI Helper — обзор
- Агентный процесс вызова инструментов
Приватность — это настройка, которой вы управляете, ключ за ключом. Скачайте JustZix, добавьте ключ и решите сами, синхронизировать ли его.
Оцени эту статью
Оценок пока нет — оцени первым.