安全与隐私
本地优先的底色、端到端加密的原理、社区插件的风险与防范——给笔记一道看不见的护城河。
在所有笔记软件里,Obsidian 对隐私的态度近乎偏执——而这种偏执,恰恰是它最温柔的承诺。当你把一份份私密的想法、家庭的账目、工作的草稿托付给一个软件时,“它会不会泄露”从来不是杞人忧天。理解 Obsidian 的安全模型,你才能真正安心地把重要内容写进去。
本地优先:隐私的第一性原理
多数云端笔记软件的逻辑是”数据在我的服务器,你随时来取”。Obsidian 反其道而行:笔记默认只存在你本地的磁盘上,不上传、不联网、不经任何中间人。这意味着,只要你不开同步,没有人——包括 Obsidian 团队——能接触到你的字。
这是”本地优先”哲学带来的天然优势。你的 Vault 就是一堆普通的 Markdown 文件,你可以用任何编辑器打开它,可以拷走、可以加密、可以焚毁。数据的主权完整地握在你手里,软件只是个顺手的读写器。这种”可离线、可拥有”的特质,是 Obsidian 隐私观的基石。
端到端加密:当数据必须上路
一旦你启用官方 Sync,笔记便要穿过网络、停在中继服务器上。这时,**端到端加密(End-to-End Encryption, E2EE)**就登场了。
原理并不神秘:你在创建远程库时设一个加密密码,密码经 scrypt 算法派生出密钥;笔记在离开你的设备前,就用这把密钥以 AES‑256(GCM 模式)加密成密文;密文一路传到 Obsidian 的服务器,再传到你的另一台设备,全程无人能解——因为解密密钥只存在你的设备上,服务器上没有,Obsidian 团队也没有。官方的原话是:“即便服务器被完全攻破,你的数据依然是加密的。”
E2EE 是创建远程库时的默认选项,官方强烈推荐所有用户开启。唯一的代价是:密码丢失即数据永失,没有任何人能替你找回。所以请把密码记在密码管理器里,或写在一张锁进抽屉的纸上。如果你只是把笔记 Publish 到公开站点,可选”标准加密”(密钥由 Obsidian 托管),但涉及私密内容,务必 E2EE。
值得一提的是,Obsidian 已通过第三方安全审计,审计报告在官方安全页面公开;你甚至可以按官方指南,亲手验证 Sync 的端到端加密是否名副其实——这种”可验证的信任”,比任何承诺都结实。
社区插件:最大的变量,也最大的风险
Obsidian 的插件生态繁荣,却也是安全模型里最松的一环。社区插件本质上是第三方 JavaScript 代码,拥有读取与修改你整个 Vault 的能力——理论上,一个恶意插件可以读取你所有笔记、悄悄上传到外部服务器、甚至删除文件。Obsidian 的插件审核机制在不断收紧(新版插件目录引入了审核与安全体系重构),但官方明确表示无法为第三方插件背书。
防范几条铁律:
- 只装知名插件:优先选择下载量大、开源、活跃维护的插件, GitHub 上能读到源码最佳。
- 警惕小众新插件:尤其是刚发布、无人讨论、要求异常权限的。
- 关闭受限模式的开关要谨慎:开启社区插件意味着你接受了这层风险。
- 敏感 Vault 与试验性插件隔离:别在存有重要资料的库里试新插件,开个测试 Vault 专供折腾。
敏感笔记的处理建议
对真正敏感的内容——身份证号、密码、财务细节——建议再加一层保护:
- 不在笔记里明文存密码,交给 1Password、Bitwarden 等专业密码管理器。
- 敏感笔记单独建库,与日常 Vault 分开,减少暴露面。
- 善用属性与命名:用
sensitive: true之类属性标记,便于日后审计与迁移。
Vault 加密:系统级兜底
Obsidian 本身不对本地 Vault 加密——这是为了让你能随时用其他工具访问文件。但磁盘上的明文,一旦设备丢失或被入侵,便一览无余。所以最后一道加密,交给操作系统:
- macOS:开启 FileVault,全盘加密。
- Windows:启用 BitLocker。
- iOS / Android:系统默认全盘加密,记得设强锁屏密码。
- 移动端 Lockdown 模式:Apple 设备开启 Lockdown 模式后,Obsidian Sync 与 File recovery 等功能会受限,除非把 Obsidian 加入豁免名单。
至此,护城河已成:本地优先管”默认安全”,E2EE 管”传输安全”,插件纪律管”生态安全”,系统加密管”物理安全”。四层相加,你的笔记才能真正既自由,又安全。安全从来不是某个功能,而是一套贯穿习惯的认知。