myQuickClaw
Docs

20+ Camadas de Seguranca/Privacidade

Detalhamento de cada camada de seguranca do QuickClaw.

Camadas de infraestrutura

As camadas de infraestrutura operam no nivel do sistema operacional e do kernel Linux. Elas formam a primeira linha de defesa, impedindo que qualquer codigo dentro de um container acesse recursos que nao deveria.

Seccomp

Secure Computing Mode — filtra syscalls (chamadas de sistema) perigosas no kernel. Cada container so pode executar operacoes aprovadas em uma whitelist. Syscalls como mount, reboot e ptrace sao bloqueadas automaticamente.

Na pratica, isso significa que mesmo que codigo malicioso rode dentro do container, ele nao consegue executar operacoes de sistema privilegiadas.

AppArmor

Perfil de seguranca obrigatorio (MAC — Mandatory Access Control) que restringe o acesso a arquivos e recursos do host. O perfil AppArmor de cada container define exatamente quais diretorios podem ser lidos, escritos ou executados.

Tentativas de acessar arquivos fora do escopo permitido sao bloqueadas e registradas na tabela de security_events.

User Namespaces

Isolamento de privilegios via userns. O usuario root dentro do container NAO e root no host. Ele e mapeado para um usuario sem privilegios no sistema operacional.

Isso garante que, mesmo que um atacante consiga escalar privilegios dentro do container, ele nao tera acesso administrativo ao host.

Network Namespace

Cada container tem sua propria rede isolada com interfaces virtuais dedicadas. Um agente nao consegue ver, interceptar ou modificar o trafego de rede de outro agente na mesma VPS.

A comunicacao entre containers e completamente bloqueada. Cada container so consegue acessar a internet e o API Proxy (localhost:3100).

Firewall

Regras iptables configuradas individualmente por container. Apenas o trafego estritamente necessario e permitido:

  • Saida para API Proxy (porta 3100, localhost)
  • Saida para APIs de canais (Telegram, Discord, WhatsApp)
  • Saida para DNS (porta 53)
  • Todo o restante e bloqueado por padrao (deny-all)

TC Bandwidth Shaping

Limite de 50 Mbps por container via tc (traffic control). Previne que um unico agente consuma toda a banda da VPS, afetando outros usuarios.

O shaping e aplicado tanto para upload quanto download, garantindo distribuicao justa de recursos de rede.

Camadas de aplicacao

As camadas de aplicacao protegem dados no banco de dados e garantem que informacoes sensíveis como senhas e chaves de API nunca fiquem expostas.

Row Level Security (RLS)

Politicas de seguranca no nivel de linha implementadas diretamente no PostgreSQL (Supabase). Cada usuario so consegue acessar seus proprios dados, independentemente da query executada.

Mesmo que um bug no frontend permita uma query inesperada, o banco de dados impede que dados de outros usuarios sejam retornados. O frontend nao e uma barreira de seguranca — a protecao real esta no banco.

bcrypt

Senhas sao hasheadas com bcrypt antes de serem armazenadas. Ninguem — nem os administradores do QuickClaw — consegue ver sua senha original.

Requisitos de senha:

  • Minimo de 8 caracteres
  • Pelo menos uma letra maiuscula
  • Pelo menos uma letra minuscula
  • Pelo menos um numero
  • Pelo menos um simbolo especial

pgcrypto

API keys sao criptografadas no banco de dados usando a extensao pgcryptodo PostgreSQL. As chaves nunca sao armazenadas em texto plano — apenas o hash criptografado existe no banco.

A decriptacao acontece apenas em memoria, no momento em que a chave e necessaria, e o resultado nunca e persistido em disco.

Secrets Proxy

As chaves de API sao entregues aos containers via HTTP interno (localhost:3100) pelo API Proxy. As chaves nunca tocam o disco do container — sao armazenadas apenas em variaveis de ambiente (memoria RAM).

Isso implementa o principio Zero-Disk: se alguem tiver acesso fisico ao servidor, nao encontrara nenhuma chave de API nos arquivos.

Defesa em profundidade

Note como as camadas se complementam: pgcrypto protege no banco, Secrets Proxy protege na entrega, e o container armazena apenas em memoria. Uma chave nunca existe em texto plano em disco em nenhum ponto do fluxo.

Camadas de acesso

As camadas de acesso protegem contra tentativas de login nao autorizado, bots automatizados e sessoes comprometidas.

Cloudflare Turnstile

Captcha invisivel integrado nos formularios de login e registro. Funciona de forma transparente para usuarios legitimos — sem quebra-cabecas ou imagens para selecionar.

Protege contra ataques de forca bruta, credential stuffing e bots automatizados que tentam criar contas falsas.

MFA/2FA

Autenticacao TOTP (Time-based One-Time Password) opcional que adiciona uma segunda camada de verificacao alem da senha. Gera codigos de 6 digitos que mudam a cada 30 segundos.

Quando ativado, o sistema eleva o nivel de assurance de AAL1 (email + senha) para AAL2 (email + senha + TOTP). O middleware redireciona automaticamente para a tela de verificacao MFA.

Veja detalhes tecnicos em MFA/2FA Tecnico.

Session Management

Tokens JWT gerenciados pelo Supabase Auth com refresh automatico. Sessions tem tempo de vida limitado e sao renovadas de forma transparente pelo middleware do Next.js.

Tokens expirados sao invalidados automaticamente. Nao e possivel reutilizar um token apos sua expiracao.

Camadas de monitoramento

As camadas de monitoramento detectam atividades suspeitas em tempo real e tomam acoes automaticas para proteger a plataforma.

Abuse Detection

Sistema automatizado que detecta tres tipos de abuso:

  • Network flood: Trafego de rede excessivo — gera alerta
  • Disk limit: Uso de disco acima do permitido — gera alerta
  • CPU mining: Deteccao de mineracao de criptomoedas — suspende o container imediatamente

Veja detalhes em Deteccao de Abuso.

Security Events

Tabela de auditoria (security_events) que registra todos os eventos relevantes de seguranca: tentativas de login, mudancas de configuracao, elevacao de privilegios, violacoes de politica e acoes administrativas.

Esses registros sao mantidos por 90 dias e sao essenciais para investigacao de incidentes e compliance.

Health Checks

O Agent Manager realiza health checks periodicos em cada container, verificando se o processo esta respondendo, se o uso de recursos esta dentro dos limites e se nao ha anomalias.

Containers que falham nos health checks sao reiniciados automaticamente. Se o problema persistir, alertas sao enviados ao usuario e a equipe administrativa.

Todas as camadas ativas por padrao

Voce nao precisa configurar nenhuma dessas camadas. Todas estao ativas desde o primeiro momento em que seu agente e criado, em qualquer plano (Flex, Starter ou Pro).

Anterior

Visao Geral

Proximo

Protecao de Dados (LGPD)

myQuickClaw
Suporte QuickClawEscolha uma opcao para comecar

Ola! Sou o agente do QuickClaw. Escolha uma opcao abaixo para que eu possa te ajudar:

Powered by QuickClaw