安全

Archibot Chat 安全概览

查看面向客户可见的安全控制，涵盖访问、凭据、工件、审计、备份和数据边界。

客户管理员客户成员平台运维人员

最近更新 2026年6月18日

Archibot Chat 构建为一项需登录的商用聊天和 API 服务。它与基于工作区的 Archibot Console 功能相互独立，但采用相同的平台态势：身份感知的访问、由服务器持有的提供商凭据、账户范围的审计证据，以及可供支持使用的请求 ID。

本页面汇总了面向客户可见的控制。它不能替代您的合同、安全附录或任何特定于部署的授权文件包。

访问控制

用户通过经批准的身份提供商登录。对 Chat、API、工作区和运维功能的访问由产品组和账户计费状态控制。

当访问尚未就绪时，服务会采取“失败即关闭”（fail closed）的策略。即使是已登录的用户，如果账户没有产品组、计费未完成、付款需要审核，或所请求的产品区域未启用，仍可能被阻止。

凭据

浏览器聊天使用一个隐藏的第一方凭据，该凭据由服务在完成账户和计费检查后生成。用户看不到也无法复制该凭据。

API 密钥是单独的、由用户生成的端点密钥。请将其视同密码。

仅为需要 API 密钥的脚本或集成创建密钥。
将密钥存储在机密管理器或本地环境变量中，而非源代码中。
撤销未使用、已泄露或不再分配给正确人员的密钥。
当机器、代码仓库或集成的所有权发生变化时轮换密钥。
用户生成的 API 密钥在创建一年后过期。

计费和用量门控

Chat 和 API 用量从同一套共享聊天积分中扣除。积分在授予一年后过期。

服务会在浏览器聊天、使用生成的 API 密钥以及创建生成的 API 密钥之前检查计费和积分状态。预检（preflight）失败时不应扣除积分。

聊天和 API 请求

Archibot Chat 从服务器端将请求代理到 Archibot 的 OpenAI 兼容端点。服务器端的基础密钥仅保留在后端。

对于生成的 API 密钥，公共 /v1 端点会在转发请求之前验证持有者（bearer）密钥。模型发现路由可在不扣除积分的情况下使用。Responses 请求仅在本地预检通过且上游接受工作后才从共享聊天积分中扣除。

工件

工件是在聊天中使用或由助手响应创建的文件。上传会在进入对象存储之前经过应用程序控制。

当前控制包括：

文件名和内容类型的允许列表/阻止列表。
本地签名扫描以及可选配置的恶意软件扫描。
在启用时进行类文本、电子表格和 PDF/OCR 提取。
为提取的文本生成派生的 Markdown 工件。
账户范围的工件记录和审计事件。
由用户中介的下载和删除操作。
由运维人员配置的保留清理。

附加的工件不会作为原始字节或提取的文本自动发送至上游。除非产品行为明确变更，否则当前策略以元数据优先。

活动和审计

Activity 显示账户范围的支持证据，例如请求 ID、API 密钥变更、聊天/API 用量、计费事件、支持工单更新、工件事件、被阻止的上传、速率限制和访问问题。

开具支持工单时，请使用 Activity 中的请求 ID。除非 ISM 为您提供安全的交换途径，否则请勿将 API 密钥、Cookie、原始令牌、密码、敏感客户数据或私有文件内容粘贴到支持工单中。

导出和关闭

账户导出在设计上会省略原始 API 密钥、隐藏凭据、提供商机密、对象存储密钥及其他机密材料。

账户关闭和完全擦除工作流仅限运维人员操作。它们会撤销本地生成的密钥和隐藏凭据，将本地剩余的积分批次清零，删除本地的聊天/工件/通知/引导内容，并保留所需的账户、计费、审计、Stripe 或法律证据。

备份和恢复

生产环境的备份态势由运维人员管理。托管服务可视环境而包含数据库备份、工件对象备份和对象存储快照。

备份用于恢复和运营连续性。它们不构成将机密或未经批准的客户敏感数据放入托管商用服务的理由。

数据边界

除非您的合同明确另有约定，托管的 Archibot Chat 是一款商用 SaaS 产品。

仅将其用于贵组织已批准用于所配置的商用 SaaS、存储、备份、支持和模型提供商路径的数据。请参阅 Archibot Chat 经批准的数据使用。

客户责任

客户负责：

仅将经批准的用户分配到产品组。
移除不再需要访问权限的用户。
保护生成的 API 密钥。
批准可在商用 SaaS 系统中使用的数据。
审查 Activity 和支持工单以发现账户问题。
在托管商用服务不是合适边界时，请求企业安全资料包或专用环境。

完成标志

用户理解产品门控和计费状态如何控制访问。
API 密钥像机密一样被存储和轮换。
支持工单使用请求 ID 而非原始机密。