第2课:HAPI的安全性#
为什么需要这个#
当你远程控制AI代理(从手机或浏览器),你的数据会通过互联网传输。了解HAPI如何保护这些数据以及它的方法与同类产品有何不同非常重要。
HAPI的两种访问模式#
HAPI提供两种远程连接hub的方式。选择取决于你的具体情况:
模式1:自托管(Self-hosted)#
自托管 意味着你自己控制服务器和到它的网络路径。
你通过自己的服务器、Cloudflare Tunnel或Tailscale连接。整个数据路径都在你的控制之下。
你的手机 → HTTPS → 你的服务器/隧道 → 你电脑上的Hub优点: 完全控制,没有中间人 缺点: 需要配置服务器或隧道
模式2:Relay(公共中继)#
Relay(中继)是一个中间服务器,在你的手机和电脑之间转发数据。
一条命令即可启动:
hapi hub --relay数据使用 WireGuard + TLS(名为 tunwg 的技术)加密:
你的手机 ──[加密]──► Relay服务器 ──[加密]──► 你的电脑
│
只能看到"乱码",
无法读取数据优点: 一条命令,无需配置 缺点: 流量经过他人服务器(但已加密)
什么是E2E加密#
E2E(End-to-End) ——端到端加密。数据在你的设备上加密,只在你的另一台设备上解密。中间没有人能读取它们。
在HAPI的relay模式中使用了两种技术:
| 技术 | 功能 |
|---|---|
| WireGuard | 在设备之间创建加密"隧道"(类似VPN) |
| TLS | 额外的加密层(与银行网站使用的保护相同) |
它们共同保证:relay服务器转发数据包,但无法读取其内容。
HAPI vs Happy:安全性对比#
Happy 是HAPI基于的项目。它们的方法有本质区别:
| 方面 | Happy | HAPI |
|---|---|---|
| 数据存储位置 | 云服务器上(加密) | 你的电脑上 |
| 谁存储数据 | 中央服务器 | 只有你 |
| 加密方式 | 应用层E2EE(客户端加密后发送) | WireGuard+TLS(relay)或HTTPS(自托管) |
| 服务器能看到什么 | 加密的"blob"——无法读取但会存储 | Relay:不存储任何内容,只转发 |
| 架构 | 集中式(所有人在一个云上) | 去中心化(每人运行自己的hub) |
核心区别#
-
Happy 通过复杂加密解决"不可信服务器"问题。服务器存储你的数据,但无法读取。
-
HAPI 完全避免了这个问题:数据永远不会离开你的电脑。Relay服务器只是转发加密数据包,不保存任何内容。
你的数据存储在哪里#
Happy:
你的电脑 → [加密] → 云服务器(存储加密数据)
HAPI:
你的电脑(数据留在这里) → [加密隧道] → 你的手机在HAPI中,数据以明文形式存储在你电脑上的本地SQLite数据库中。安全性通过以下方式保证:
- 只有你能物理访问数据
- 远程访问通过加密保护(WireGuard+TLS或HTTPS)
安全建议#
-
保密你的令牌。
CLI_API_TOKEN是你的访问密钥。不要公开发布或在聊天中发送。 -
使用relay快速开始 ——加密自动配置。
-
使用自托管获得最大控制 ——你的流量完全不经过他人服务器。
-
保护你的电脑。 由于数据以明文存储在本地,电脑设置密码和磁盘加密很重要。
课程总结#
- HAPI提供两种模式:自托管(完全控制)和 relay(配置简单)
- relay模式下数据受端到端加密 WireGuard + TLS 保护
- Relay服务器不存储也无法读取你的数据
- 与Happy不同,HAPI只在你的电脑上存储数据——更简单也更安全
- HAPI的核心原则:你的数据留在你手中