Шифрование данных в ИИ ассистенте: что оно защищает на деле

Шифрование данных в ИИ ассистенте разобрано простыми словами: как работают AES 256 и TLS, почему провайдер всё равно читает переписку и что защищает данные.

Шифрование данных в ИИ ассистенте: что оно защищает на деле

Технически переписка с крупным ИИ-сервисом защищена хорошо, но от посторонних, а не от самого сервиса. Шифрование данных в ИИ ассистенте работает на двух участках. В передаче: текст едет от Вас до сервера по каналу TLS, и перехватить его по дороге нельзя. В покое: на дисках провайдера база лежит зашифрованной алгоритмом AES 256, украденный диск превращается в бессмысленный набор байтов. OpenAI, например, заявляет оба слоя на странице Enterprise privacy. Дальше важная честная деталь: ключи от этого шифрования держит сам провайдер. Чтобы модель ответила на Ваш вопрос, текст расшифровывают, и внутри сервиса он обрабатывается в открытом виде. Поэтому шифрование отвечает на вопрос «защищена ли переписка от чужих глаз по дороге и в хранилище», но не на вопрос «видит ли её провайдер». Видит: его автоматические фильтры, его модель, его сотрудники по регламенту. Разберём оба слоя на бытовых примерах и посмотрим, где проходит граница защиты.

Что такое шифрование в передаче и в покое

Два слоя проще всего представить как путь ценного письма.

Шифрование в передаче это бронированный конверт на время дороги. Когда Вы отправляете сообщение чат-боту, текст идёт через Wi-Fi кафе, домашний роутер, провайдера связи, магистральные сети. Канал TLS запечатывает сообщение так, что любой, кто перехватит его по пути, увидит шум, а не текст. Это тот же механизм, что и замочек в адресной строке браузера: банки и магазины защищают Ваши платежи ровно так же.

Шифрование в покое это сейф в архиве. Доставленное письмо где-то хранится: переписка с ИИ-сервисом лежит в базе на дисках дата-центра. Диски выходят из строя, списываются, иногда крадутся. Если база зашифрована, содержимое диска без ключа бесполезно: набор байтов, из которого не собрать ни одного сообщения.

Оба слоя защищают от одного и того же персонажа: постороннего. От любопытного соседа по сети, от вора, от сотрудника дата-центра, которому никто ничего не разрешал. Заметьте, кого в этом списке нет: самого сервиса. К нему письмо приходит распечатанным, потому что иначе он не сможет его прочитать и ответить.

AES 256 и TLS простыми словами

Когда в описании нейросети пишут AES 256, речь о том самом сейфе. AES это алгоритм шифрования, 256 это длина ключа в битах. Вариантов такого ключа больше, чем атомов в видимой Вселенной, поэтому подобрать его перебором на практике невозможно. Этим же алгоритмом шифруют данные банки и государственные системы: он давний, открытый и многократно проверенный.

TLS это протокол бронированного конверта для дороги. OpenAI на странице Enterprise privacy формулирует свой набор так: шифрование данных в покое по AES 256 и в передаче по TLS 1.2 и выше, между клиентом и сервисом и между сервисом и его подрядчиками.

Тут полезна трезвая рамка. AES 256 и TLS это не особое достижение отдельного сервиса, а гигиенический минимум индустрии: примерно так устроен любой серьёзный облачный продукт, от почты до бухгалтерии. Если сервис хвалится шифрованием, он сообщает, что у него всё как у всех. Настоящие различия между сервисами начинаются не в алгоритме, а в следующем вопросе: у кого ключи.

Кто видит зашифрованные данные на самом деле

Представьте камеру хранения на вокзале. Ваша ячейка заперта, случайный прохожий в неё не залезет. Но у администрации есть мастер-ключ, и по внутреннему регламенту она вправе ячейку открыть. Так устроено шифрование у облачного ИИ-сервиса: ключи от базы держит провайдер, потому что без них он не смог бы работать с Вашими данными.

И это не злой умысел, а устройство самой технологии. Языковая модель отвечает на текст, который прочитала. Зашифрованный вопрос для неё бессмыслен: в момент обработки Ваше сообщение обязано существовать в открытом виде на сервере. Поэтому сквозного шифрования, как в защищённых мессенджерах, у облачных чат-ботов нет и быть не может: мессенджер лишь передаёт сообщение, а модель должна его понять.

Документы OpenAI описывают, что происходит внутри этой камеры хранения, достаточно откровенно. Бизнес-данные могут проходить через автоматические классификаторы контента. Уполномоченные сотрудники получают доступ к перепискам для разбора инцидентов, по требованию закона или с явного разрешения клиента, а в ChatGPT Business к проверке злоупотреблений допускаются и сторонние подрядчики, связанные обязательствами конфиденциальности. Удалённые разговоры стираются из систем в течение 30 дней, если закон не требует хранить дольше.

Ничего скандального в этом списке нет: примерно так работает любой крупный облачный сервис. Вывод из него спокойный и практический. Фраза «данные зашифрованы» и фраза «данные никто не видит» это два разных утверждения, и первое не влечёт второе. Шифрование закрывает дорогу и склад. Внутри сервиса текст открыт настолько, насколько это разрешает регламент провайдера, который он сам пишет и сам меняет.

Где шифрование действительно становится Вашим

В корпоративном мире эту развилку прошли давно, и ответ там называется BYOK, bring your own key: клиент шифрует данные собственным ключом, а не ключом платформы. Thales, один из крупнейших поставщиков систем управления ключами, описывает и сам подход, и его ловушку: часть BYOK-схем загружает клиентский ключ в инфраструктуру облачного провайдера, и тогда контроль над ключом снова потерян. Работает только вариант, где ключ рождается и живёт в оборудовании клиента.

Для ИИ-ассистента у этой логики есть предел: какой ключ ни принеси, в момент обработки модель читает открытый текст. Значит, вопрос «кто видит мои данные» решается не выбором алгоритма, а выбором места: на чьём сервере лежит база и чей регламент действует. Это и есть практический критерий владения, который мы подробно разбираем в обзоре кому принадлежат данные при работе с ИИ.

У Хермес этот вопрос решён размещением. Память, документы и переписка лежат в базе на сервере клиента: диск Ваш, круг доступа определяете Вы, и вопрос «у кого мастер-ключ от камеры хранения» исчезает, потому что камера хранения стоит у Вас. Шифрование при этом никуда не девается: канал до языковой модели так же закрыт TLS, а запросы к модели обрабатываются поставщиком модели по его политике, это честная граница любой схемы. Как устроена такая архитектура, от слоёв памяти до личного кабинета, описано на странице продукта intakto.

Если Вы выбираете ИИ-сервис и хотите проверить защиту за пять минут, задайте поставщику три вопроса. Шифруются ли данные в передаче и в покое: ответ «да» обязателен, это гигиена. У кого ключи и кто по регламенту может расшифровать и посмотреть: здесь начинаются различия. И где физически лежит база: этот ответ определяет всё остальное. Хороший поставщик отвечает на все три письменно и без тумана.

частые вопросы
Что значит AES 256 в описании нейросети?

AES 256 это стандартный алгоритм шифрования данных в хранилище: база на дисках сервера лежит в зашифрованном виде, и без ключа украденный или списанный диск прочитать нельзя. Число 256 это длина ключа в битах, перебрать такой ключ на практике невозможно. Важно понимать рамку: AES 256 у нейросети означает защиту дисков от посторонних, а не тайну переписки от самого сервиса. Ключи держит провайдер, и для обработки Ваш текст расшифровывается.

Кто видит мои зашифрованные данные в ИИ-сервисе?

Сам провайдер. Ключи шифрования лежат у него, поэтому внутри сервиса текст обрабатывается в открытом виде. OpenAI, например, описывает это прямо: данные проходят через автоматические классификаторы, а уполномоченные сотрудники и подрядчики могут получать доступ к перепискам по регламенту, для разбора инцидентов и проверки злоупотреблений. Шифрование в передаче и в покое отсекает посторонних: хакера в кафе, вора с диском. От провайдера оно не защищает по построению.

Есть ли сквозное шифрование в переписке с чат-ботом?

Нет, и для облачной модели его не может быть. Сквозное шифрование, как в защищённых мессенджерах, означает, что сервер передаёт сообщение, не читая его. Языковая модель так работать не умеет: чтобы ответить на вопрос, она обязана прочитать его текст. Поэтому сервер ИИ-сервиса всегда видит Вашу переписку в открытом виде в момент обработки. Это честное техническое ограничение, а не недоработка конкретного сервиса.

источники (2)
  1. Enterprise privacy at OpenAI · OpenAI · 2026
  2. What is Bring Your Own Key (BYOK)? · Thales
Подключить  Честная цена 

Ещё в этой теме

Кому принадлежат данные при работе с ИИ: закон, провайдеры, владение
01

Чьи данные в переписке с ИИ: что говорят соглашения Чьи данные в переписке с ИИ-ассистентом: права на текст по соглашениям у Вас, копия у провайдера, ответственность за данные клиентов на Вас по 152-ФЗ.

02

Свой защищённый канал общения с ИИ: Matrix и Element X Свой защищённый канал общения с ИИ на Matrix: зачем он нужен помимо Telegram, у кого ключи шифрования и как включить канал за три шага по QR из кабинета.

03

Что такое 152-ФЗ простыми словами для бизнеса 152-ФЗ простыми словами: кто такой оператор персональных данных, зачем согласие, уведомление и локализация. Требования закона на примерах малого бизнеса.

Ассистент, который помнит Ваше дело

Хермес работает в Telegram и браузере, а её память живёт на Вашем сервере в РФ. Один тариф, 14 дней на то, чтобы передумать.