AuroraWhisp
RU EN
Безопасность

Технические детали для скептиков

Если короткий ответ «всё локально» тебя не убеждает — вот длинный, со специфическими подробностями. И что у нас НЕ безопасно — тоже.

Если коротко

  • Голос обрабатывается на твоём компьютере и никуда не уходит. Открой Wireshark — пусто.
  • Аккаунтов нет. Email нужен только для активации Pro и привязан к ключу — больше нигде не используется.
  • Программа не подписана Authenticode-сертификатом — это и всё, чего у нас нет.

Сетевая активность — три исключения

AuroraWhisp обращается к интернету только в трёх случаях: (1) первая загрузка дополнительной модели, если ты сам её выбрал — встроенные GigaAM v3 и Zipformer English уже внутри .exe; (2) проверка обновлений (можно выключить); (3) одноразовая активация лицензионного ключа Pro при первой установке — дальше работает оффлайн. Никаких аналитических пингов, никаких heartbeat-запросов. Открой Wireshark, отрежь файрволом — программа продолжит работать.

Какие модели используются и где их проверить

Sherpa GigaAM v3 (русский, 320 МБ, ~150 мс) — github.com/k2-fsa/sherpa-onnx, оригинал salute-developers/GigaAM на HuggingFace. Sherpa T-one Russian (144 МБ, ~32 мс). Sherpa Zipformer English (85 МБ, ~150 мс). Whisper Tiny / Base / Small / Medium / Large-v3 — openai/whisper, ctranslate2-конвертированные. Distil-Whisper Large-v3 (только EN). Все модели открытые: можно скачать оригинал, посчитать SHA-256, сравнить с тем, что внутри AuroraWhisp.

Что лежит в %APPDATA%\AuroraWhisp\

settings.json — твои настройки (хоткей, язык, размер виджета). history.db — SQLite с историей диктовок (можно выключить или очистить в любой момент). analytics.jsonl — локальная UX-статистика, никуда не отправляется. license.json — Pro-ключ с RSA-подписью (если активирован). Никакого аудио не сохраняется. Все файлы — твоя собственность, шифрование на уровне диска (BitLocker/VeraCrypt) рекомендуется, но это твой выбор.

Активация лицензии — RSA, offline-first

Pro-ключ — это файл с RSA-подписью нашего сервера. При первой активации программа делает один HTTP-запрос на наш сервер, получает подпись, сохраняет в license.json. Дальше проверка лицензии работает локально через публичный ключ — интернет не нужен. Перепривязка к новому устройству — через личный кабинет на сайте (3 устройства одновременно на ключ).

Подпись бинарника

exe не подписан Authenticode-сертификатом, поэтому при первом запуске Windows может показать SmartScreen «неизвестный издатель». Кликни «Подробнее → Выполнить в любом случае». Сертификат планируем купить, когда будет смысл.

Single-instance + один процесс

Программа защищена от случайного запуска двух копий — увидишь сообщение и существующий процесс выйдет на передний план. Один процесс = одна точка контроля. Никаких background-сервисов, никакого autostart без явного «Запускать с Windows» в настройках.

Open source?

Сама программа закрытая. Используемые модели (Whisper, GigaAM, Zipformer, T-one, Distil-Whisper) — открытые. Скачай оригиналы с HuggingFace, сверь SHA-256, убедись, что мы не подменяем их «своими» бэкдор-вариантами. Внешнего аудита самой программы пока не было — нет ресурсов на платный pentest.

Что хранится в нашей серверной БД

При первой активации Pro на сервере создаётся одна запись: лицензионный ключ, email покупателя (чтобы можно было повторно выдать ключ если потеряешь), hardware_id устройства (SHA-256 хеш железа, не само железо), имя устройства, даты активации и последней проверки. Ничего больше. Ни IP-адресов, ни геолокации, ни user-agent. БД ежедневно бэкапится с ротацией 30 дней. Доступ к серверу ограничен только админом.

Bug bounty

Если нашёл уязвимость — пиши на security@aurorawhisp.com с воспроизведением. Отвечаем в течение 24 часов. За реальные находки в безопасности или приватности платим: low-severity (косметика без эксплуатации) — 5 000 ₽; medium (утечка метаданных, обход лимитов) — 15 000 ₽; high (компрометация лицензии или БД) — 50 000 ₽; critical (RCE, leak голосовых данных) — 100 000 ₽ и более. Bug bounty — текущий, не финальная программа.

Что у нас НЕ безопасно прямо сейчас (честный self-assessment)

exe не подписан Authenticode-сертификатом — Windows покажет SmartScreen при первом запуске. Внешнего pentest не было — только наш собственный security-review. Open source — только используемые модели, сама программа закрытая (значит, ты не можешь сам читать наш код). Активация лицензии требует одного HTTP-запроса к нашему серверу — теоретически если наш сервер взломают, активации могут быть скомпрометированы (хотя уже выпущенные ключи не пострадают, потому что верификация локальная через RSA-подпись). Признаём открыто.