Урок 2. Безопасность в HAPI#
Зачем это нужно#
Когда вы управляете AI-агентом удалённо (с телефона или из браузера), ваши данные проходят через интернет. Важно понимать, как HAPI защищает эти данные, и чем его подход отличается от аналогов.
Два режима доступа к HAPI#
HAPI предлагает два способа удалённого подключения к вашему хабу. Выбор зависит от вашей ситуации:
Режим 1: Self-hosted (самостоятельный хостинг)#
Self-hosted — значит вы сами контролируете сервер и сетевой путь до него.
Вы подключаетесь через собственный сервер, Cloudflare Tunnel или Tailscale. Весь путь данных — под вашим контролем.
Ваш телефон → HTTPS → Ваш сервер/туннель → Hub на вашем компьютереПлюсы: полный контроль, никаких посредников Минусы: нужно настраивать сервер или туннель
Режим 2: Relay (публичное реле)#
Relay (реле) — промежуточный сервер, который пересылает данные между вашим телефоном и компьютером.
Запускается одной командой:
hapi hub --relayДанные шифруются с помощью WireGuard + TLS (технология под названием tunwg):
Ваш телефон ──[зашифровано]──► Relay-сервер ──[зашифровано]──► Ваш компьютер
│
Видит только «мусор»,
не может прочитать данныеПлюсы: одна команда, ничего настраивать не нужно Минусы: трафик идёт через чужой сервер (но он зашифрован)
Что такое E2E-шифрование#
E2E (End-to-End) — сквозное шифрование. Данные шифруются на вашем устройстве и расшифровываются только на другом вашем устройстве. Никто посередине не может их прочитать.
В HAPI relay-режиме используются две технологии:
| Технология | Что делает |
|---|---|
| WireGuard | Создаёт зашифрованный «туннель» между устройствами (как VPN) |
| TLS | Дополнительный слой шифрования (то же, что защищает банковские сайты) |
Вместе они гарантируют: relay-сервер пересылает пакеты, но не может прочитать их содержимое.
HAPI vs Happy: сравнение безопасности#
Happy — это проект, на основе которого создан HAPI. У них принципиально разные подходы:
| Аспект | Happy | HAPI |
|---|---|---|
| Где хранятся данные | На облачном сервере (зашифрованы) | На вашем компьютере |
| Кто хранит данные | Центральный сервер | Только вы |
| Шифрование | Прикладное E2EE (клиент шифрует перед отправкой) | WireGuard+TLS (relay) или HTTPS (self-hosted) |
| Что видит сервер | Зашифрованные «блобы» — прочитать не может, но хранит | Relay: ничего не хранит, только пересылает |
| Архитектура | Централизованная (все на одном облаке) | Децентрализованная (каждый запускает свой hub) |
Главное отличие#
-
Happy решает проблему «ненадёжного сервера» с помощью сложного шифрования. Сервер хранит ваши данные, но не может их прочитать.
-
HAPI вообще избегает этой проблемы: данные никогда не покидают ваш компьютер. Relay-сервер просто пересылает зашифрованные пакеты, ничего не сохраняя.
Где хранятся ваши данные#
Happy:
Ваш компьютер → [шифрование] → Облачный сервер (хранит зашифрованные данные)
HAPI:
Ваш компьютер (данные остаются здесь) → [шифрованный туннель] → Ваш телефонВ HAPI данные хранятся в локальной базе SQLite на вашем компьютере в открытом виде. Безопасность обеспечивается тем, что:
- Физический доступ к данным имеете только вы
- Удалённый доступ защищён шифрованием (WireGuard+TLS или HTTPS)
Рекомендации по безопасности#
-
Храните токен в секрете.
CLI_API_TOKEN— это ваш ключ доступа. Не публикуйте его и не отправляйте в чатах. -
Используйте relay для быстрого старта — шифрование настраивается автоматически.
-
Используйте self-hosted для максимального контроля — ваш трафик вообще не проходит через чужие серверы.
-
Защищайте свой компьютер. Поскольку данные хранятся локально в открытом виде, важно иметь пароль на компьютере и шифрование диска.
Итоги урока#
- HAPI предлагает два режима: self-hosted (полный контроль) и relay (простота настройки)
- В relay-режиме данные защищены сквозным шифрованием WireGuard + TLS
- Relay-сервер не хранит и не может прочитать ваши данные
- В отличие от Happy, HAPI хранит данные только на вашем компьютере — это проще и безопаснее
- Главный принцип HAPI: ваши данные остаются у вас