Мы написали на сайте своего сервиса, что технически можем прочитать ключи клиентов. Почему это стратегия, а не глупость

Обычно на лендинге стартапа пишут «ваши данные в безопасности» и рисуют иконку замочка. Мы сделали наоборот: на странице безопасности своего сервиса первым же пунктом написали, чего наша защита НЕ гарантирует — включая самый неудобный факт: при желании мы физически способны расшифровать ключи, которые нам доверяют. Рассказываю, зачем мы это сделали и почему считаем, что честность конвертит лучше маркетингового тумана.

Контекст: что мы вообще делаем

Мы делаем proxykey — сервис, который прячет API-ключи. Если по-простому: у любого продукта на базе OpenAI, Telegram-ботов, платёжных API есть ключи доступа. Эти ключи постоянно утекают — в открытый код, в логи, в чужие руки. По данным GitGuardian, только за 2024 год в публичный доступ утекло около 23,7 млн таких секретов, а средний ущерб от одной утечки с компрометацией доступов, по оценке IBM, — 4,9 млн долларов.

Наш сервис устроен так: настоящий ключ хранится у нас зашифрованным, а наружу отдаётся «проходка» — виртуальный ключ, который можно отозвать одним кликом, привязать к конкретному серверу и ограничить лимитами. Утёк — не страшно, отозвал и забыл.

Звучит как «доверьте нам самое ценное». И вот тут начинается интересное.

Вопрос, который убивает продажи

Как только человек понимает суть, он задаёт единственно правильный вопрос:

«А вы сами можете прочитать мои ключи?»

И честный ответ — да, технически можем. Наш сервис по своей природе обязан расшифровать ключ, чтобы подставить его в запрос. Значит, тот, кто управляет сервером, в принципе способен добраться до расшифрованного ключа. Это не наша недоработка — это фундаментальное свойство любого сервиса такого класса. У всех облачных хранилищ ключей, менеджеров секретов и прокси — ровно так же. Просто об этом не принято говорить вслух.

У нас было два пути: 1. Как все — написать «банковское шифрование, ваши данные под защитой» и надеяться, что никто не станет копать. 2. Сказать правду прямо на сайте.

Мы выбрали второй.

Что мы сделали

Завели отдельную страницу «Безопасность и модель угроз». На ней — честная таблица: вот от чего наша защита спасает (утечка базы данных, кража бэкапов, слив логов, утечка виртуального ключа — всё это закрыто шифрованием), а вот от чего НЕ спасает (полный доступ к нашему серверу или недобросовестный сотрудник). Второй пункт выделен, не спрятан мелким шрифтом.

Больше того — мы выложили в открытый доступ сам код шифрования. Не весь продукт, а именно криптографическую часть: пусть любой желающий проверит, как именно мы шифруем ключи. С честной оговоркой прямо в описании: открытый код — это жест доверия, но не стопроцентное доказательство, что на сервере крутится именно он.

И дали практический совет, который работает против нас же: не заводите у нас ключи с полным доступом к аккаунту — заводите ключи с ограниченным бюджетом. Тогда даже если что-то пойдёт не так с нашей стороны, вы теряете не всё, а конкретную небольшую сумму.

Почему это не выстрел в ногу

Аргумент «зачем ты сам рассказываешь о слабости продукта» кажется убийственным, пока не посмотришь на аудиторию. Наши клиенты — разработчики и технические предприниматели.

Это люди, которые всё равно зададут этот вопрос. Которые всё равно докопаются до правды, если её замаскировать. И которые мгновенно теряют доверие, когда ловят тебя на маркетинговом тумане.

Для такой аудитории «мы честно говорим, где граница» — сильнее, чем «у нас всё безопасно». Первое звучит как «эти ребята понимают, что делают, и не держат меня за дурака». Второе — как реклама.

Есть ещё эффект, который сложно купить за деньги: когда ты сам называешь слабое место раньше критиков, у критиков не остаётся пороха. Скептик, который пришёл написать «а вот вы же можете читать ключи!», обнаруживает, что мы это уже написали сами, крупным шрифтом, на отдельной странице. Спорить не с чем — остаётся уважение.

Честность как отстройка от конкурентов

Тут есть и чисто рыночный расчёт. Рынок хранения секретов — это гиганты: облачные провайдеры, крупные секрет-менеджеры. Соревноваться с ними в «у нас надёжнее» бессмысленно — не поверят маленькому сервису. А вот в честности — можно. Никто из больших игроков не пишет на главной «да, теоретически мы можем прочитать ваши секреты». Мы пишем. Это наша отстройка: не самые большие, но самые прямые.

Расчёт простой: доверие — это не когда тебе обещают идеал, а когда с тобой говорят как со взрослым. В нише, где все продают иллюзию абсолютной безопасности, продавать честную картину мира — это и есть уникальное позиционирование.

Что дальше

Мы не знаем, сработает ли это в деньгах — сервису мало недель, статистики пока кот наплакал. Но ранние сигналы обнадёживают: люди, которые заходят на страницу безопасности, проводят на ней время и идут читать открытый код, а не закрывают вкладку. Это не поведение человека, которого спугнули; это поведение человека, который проверяет и убеждается.

Если у вас продукт, где клиент вынужден вам что-то доверять — данные, деньги, доступы — попробуйте не прятать границу этого доверия, а показать её. Возможно, именно это и станет причиной, по которой выберут вас.

Дисклеймер: я один из создателей proxykey (proxykey.org). Сервис бесплатный. Этот текст — не «у нас безопасно, приходите», а разбор того, почему мы решили говорить о безопасности честно. Возможно, кому-то из основателей это будет полезно как пример позиционирования.