«Безопасно ли это отправлять в Claude?» — вопрос, к которому рано или поздно приходит любой security-ревью. Честный ответ: зависит от того, что именно «это», каким путём оно идёт и что вы делаете на своей стороне. Этот гайд разбирает реальный путь данных при вызовах Claude через шлюз вроде Claudexia, что на самом деле говорит коммерческая политика данных Anthropic в 2026, и какие практические паттерны команды используют, чтобы держать PII, секреты и регулируемые данные под контролем.
Реальный путь данных
Когда ваше приложение вызывает Claude через Claudexia, запрос проходит конкретный путь:
- Ваш клиент (сервер, edge-функция, мобильное приложение) собирает тело запроса.
- Шлюз Claudexia принимает его по TLS, аутентифицирует API-ключ, применяет лимиты бюджета и rate-limit, пишет метаданные для биллинга и пересылает запрос в Anthropic.
- Anthropic обрабатывает запрос на своей инференс-инфраструктуре и возвращает ответ.
- Шлюз стримит ответ обратно, фиксирует расход токенов для биллинга, ваш клиент получает результат.
Два важных момента. Во-первых, тело запроса — промпт и вложения — проходит через шлюз в открытом виде (внутри TLS-туннеля). Во-вторых, и шлюз, и Anthropic пишут логи. Что именно попадает в эти логи — и есть сердцевина вопроса о комплаенсе.
Коммерческая политика данных Anthropic
Для платного API-трафика опубликованные коммерческие условия Anthropic в 2026 говорят три вещи, которые имеют значение для комплаенса:
- Не обучаются на API-данных. Входы и выходы коммерческих API-вызовов не используются для обучения моделей Anthropic. Это закреплено контрактом, а не переключателем.
- Ретеншн 30 дней по умолчанию. Запросы и ответы могут храниться до 30 дней для мониторинга злоупотреблений и операционной отладки, затем удаляются.
- Доступен Zero Data Retention (ZDR). Подходящие enterprise-клиенты могут запросить ZDR, который убирает 30-дневное окно. Условия и настройка обсуждаются через enterprise-продажи Anthropic.
ZDR имеет значение, когда вы работаете с сильно регулируемыми данными (HIPAA-подобные записи, финансовый PII в масштабе, юридическая тайна). Для большинства продуктовых команд дефолтный коммерческий ретеншн в 30 дней приемлем — при условии, что вы не пуляете незачищенные секреты в промпты.
Логи шлюза — минимизируйте, что вы логируете
Claudexia пишет метаданные запроса и ответа для точности биллинга: какая модель, токены входа/выхода, латентность, код статуса, отпечаток API-ключа. Полные тела промптов не хранятся дольше, чем нужно для краткосрочной отладки, но относитесь к шлюзу как к системе, которая кратко видит ваши данные.
Практические следствия:
- Не кладите учётки, сырые OAuth-токены или живые session cookies в тело промпта. Если агенту они нужны — берите их серверно и используйте в tool-вызовах, не выводя в контекст модели.
- Если отправляете клиентские данные — редактируйте до того, как запрос покинет ваш сервис. Шлюз — это транспорт, а не ваша граница DLP.
- Ваши собственные логи приложения обычно — куда более серьёзная утечка. Многие команды логируют полный промпт для отладки и потом годами забывают про эти логи. Сначала проведите аудит собственного ретеншена, потом беспокойтесь о чужом.
Редакция PII — двухслойный паттерн
Паттерн, который выживает в проде, многослойный: дешёвый детерминированный проход первым, LLM-проход вторым там, где детерминированного не хватает.
Слой 1: regex-предпроход. Прежде чем промпт уйдёт из вашего сервиса, прогоняйте regex по очевидным вещам:
const REDACTORS: [RegExp, string][] = [
[/\b[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,}\b/gi, "[EMAIL]"],
[/\b(?:\d[ -]*?){13,19}\b/g, "[CARD]"], // PAN-подобные цифры
[/\b\d{3}-\d{2}-\d{4}\b/g, "[SSN]"], // US SSN
[/\b\+?\d{1,3}[\s-]?\(?\d{2,4}\)?[\s-]?\d{3,4}[\s-]?\d{3,4}\b/g, "[PHONE]"],
];
function scrub(input: string): string {
return REDACTORS.reduce((acc, [re, tag]) => acc.replace(re, tag), input);
}
Это ловит 80% случайного PII почти бесплатно.
Слой 2: LLM-редакция через Haiku. Для свободных полей, куда пользователи вставляют произвольный контент (тикеты поддержки, пункты договоров, медицинские заметки), вызывайте Claude Haiku как дешёвый пред-проход:
const redacted = await anthropic.messages.create({
model: "claude-haiku-4.5",
max_tokens: 2000,
system: "Замени имена, адреса, номера счетов, даты рождения и медицинские идентификаторы на [REDACTED-NAME], [REDACTED-ADDRESS] и т.д. Остальное сохрани дословно. Выведи только отредактированный текст.",
messages: [{ role: "user", content: userInput }],
});
Haiku по тарифам шлюза достаточно дёшев, чтобы гонять его как фильтр-редактор перед Sonnet или Opus экономически разумно для чувствительных нагрузок. Базовый URL остаётся прежним:
import Anthropic from "@anthropic-ai/sdk";
const anthropic = new Anthropic({
apiKey: process.env.CLAUDEXIA_API_KEY,
baseURL: "https://api.claudexia.tech/v1",
});
Комбинируйте слои: regex первым (детерминированный, удобный для аудита), Haiku вторым — только там, где поле свободное и высокого риска. Логируйте сам факт редакции, чтобы можно было доказать, что именно убрали.
EU-присутствие и GDPR
Для команд с европейскими пользователями важна география транзита и обработки. Claudexia держит шлюзовую инфраструктуру в EU, что значит:
- Запросы от EU-клиентов сначала попадают на EU-edge, а не прыгают через Атлантику до применения каких-либо политик.
- Логи на стороне шлюза (биллинг-метаданные, счётчики rate-limit) хранятся в EU.
- Цепочка DPA короче — одно соглашение с Claudexia на шлюзовой слой плюс условия Anthropic на инференс.
Это не делает Anthropic EU-only-обработчиком — инференс по-прежнему идёт на инфраструктуре Anthropic, преимущественно в США. EU-присутствие сокращает количество транзитных хопов, упрощает ваш реестр операций обработки и даёт вам контрагента в вашей юрисдикции. Для большинства B2B SaaS с GDPR-постановкой этого достаточно. Для данных, которые действительно не должны покидать EU, нужна другая архитектура (on-prem-инференс, EU-only-модели от других вендоров, гибрид) — ни одно коммерческое развёртывание Claude сегодня этого не решает.
Гигиена ротации ключей
Самый высокорычажный операционный контроль — дисциплина ключей:
- Один ключ на окружение. Прод, стейджинг, CI, локальная разработка, каждый батч-джоб — отдельные ключи. Никогда не общие.
- Ежемесячная ротация, автоматическая. Сгенерировать новый, выкатить, выключить старый через 24 часа перекрытия. Если ротация причиняет боль — проблема в управлении секретами.
- Виртуальные ключи с бюджетными лимитами. Claudexia поддерживает лимиты бюджета, whitelisting моделей и rate-limit на ключ. Используйте. Виртуальный ключ, который может потратить максимум $50/день и вызывать только Haiku — это куда меньший радиус поражения, чем мастер-ключ без ограничений.
- Скоуп по назначению. Ключ саппорт-бота не должен иметь права вызывать Opus. Ключ батч-обогащения не должен делать низколатентные запросы. Кодируйте политику в конфиге ключа, а не в коде приложения.
Аудит-логи на вашей стороне
Логи шлюза — для биллинга и контроля злоупотреблений. Это не ваш аудит-трейл. У себя логируйте:
- Кто инициировал каждый запрос (correlation ID, user ID, tenant ID).
- Какая модель и какой ключ.
- Токены и стоимость (берите из заголовков ответа, которые возвращает Claudexia).
- Применялась ли редакция и какие редакторы сработали.
- Хеш входа, а не сам вход, если ваша политика ретеншена запрещает хранить тела промптов.
Это даёт полный учёт без хранения чувствительного контента. Когда регулятор или аудитор спросит «уходили ли данные пользователя X в Claude такого-то числа», вы ответите по своим логам, не завися от чужого ретеншена.
Модель угроз: украденный ключ
Считайте, что ключ рано или поздно утечёт — в git-коммит, лог CI, ноут подрядчика. Вопрос в том, что атакующий успеет сделать до того, как вы заметите.
С мастер-ключом без капов: за ночь нагнать четырёхзначный счёт, гоняя Opus в цикле, или хуже — выгрузить контекст, если ключом пользуется агент с tool-доступом.
С виртуальным ключом, ограниченным Haiku, с капом $50/день, rate-лимитом 100 RPM и привязкой к диапазону source IP: худший случай — счёт на $50 и алерт по достижении дневного капа. Радиус поражения ограничен конфигом, а не скоростью вашей реакции.
В этом и весь аргумент за виртуальные ключи с капами: они превращают «утечку учётки» из критического инцидента в рутинный алерт.
Итог
Безопасность облачных LLM — это эшелонированная защита, а не один переключатель:
- Коммерческая политика Anthropic (без обучения, 30-дневный ретеншн, доступен ZDR) закрывает upstream-слой.
- Шлюз Claudexia с EU-присутствием закрывает транзит и применение политик.
- Ваш пайплайн редакции (regex + Haiku) закрывает то, что покидает ваш сервис.
- Виртуальные ключи на окружение с бюджетными капами закрывают радиус поражения учёток.
- Ваши собственные аудит-логи закрывают вопрос регулятора.
Каждый слой по отдельности дешёвый. Сложенные вместе они дают вам постановку, которая выдерживает security-ревью без театра. Соедините это с дисциплиной по цене из нашего гайда по тарифам Claude API — и у вас в одной форме и юнит-экономика, и комплаенс-история.