← 返回首页

安全架构

深入技术解析TL;2DO如何通过零信任、本地优先的设计保护您的数据。

📱

本地优先

处理在您设备的RAM中进行。无云数据库同步。

🔑

BYOK模式

自带密钥(Bring Your Own Key)。您控制API访问,而非我们。

🛡️

零遥测

我们不知道您是谁,也不知道您在提取什么。

无中间环节承诺

大多数AI生产力应用通过代理您的数据来工作:您将邮件发送到他们的服务器,他们处理后将结果返回给您。这创造了一个巨大的安全目标。

TL;2DO不同。我们完全移除了中间环节。应用在您的手机上本地运行,直接与您使用的服务(Gmail、Slack、Gemini)通信。我们公司的服务器从不参与数据循环。

传统AI应用(高风险方式) [您的手机] ---> [公司服务器] ---> [LLM提供商] ^ | (为"训练"或"日志"存储您的数据) | (黑客的单点故障) ---------------------------------------------------------------- TL;2DO架构(安全方式) [您的手机] | +---> (直接IMAP/HTTPS) ---> [Gmail / Slack / Jira] | ^ | | | (内存处理) | (您的凭据) | | +---> (直接HTTPS) --------> [Google Gemini / Groq API] ^ | (您的API密钥) [Original Device LLC服务器] <--- (我们不在此循环中)

数据流与存储

1. 凭据存储

您的密码、API令牌和AI密钥使用操作系统原生的硬件支持安全存储来保存:

  • iOS:钥匙串服务(AES-256加密,受FaceID/TouchID上下文保护)
  • Android:Android密钥库系统(硬件支持的安全模块)

这些凭据永远不会离开您的设备。它们仅在验证网络请求所需的瞬间被检索到内存中。

2. 处理生命周期(仅RAM)

当您运行提取任务时:

  1. 应用直接从源(如Slack)将消息获取到易失性内存(RAM)中。
  2. 文本在RAM中进行预处理(PII剥离、HTML清理)。
  3. 提示通过加密的HTTPS连接发送到Google Gemini / Groq API。
  4. 接收并解析结果。
  5. 原始消息正文立即从内存中丢弃(除非您明确打开"线程详情"视图)。

3. 持久化

我们将元数据(线程ID、时间戳、主题行)和生成的任务列表保存到您手机上的本地SQLite数据库。此数据库在应用的私有存储区域内沙盒化,其他应用无法访问。

透明披露

您的邮件内容会发送到Google Gemini / Groq进行AI分析。

这是AI技术的当前现实。设备上的AI模型还不够强大,无法进行准确的任务提取。为了提供有用的结果,我们必须使用基于云的LLM服务。

这意味着Google可以看到您选择分析的邮件内容。虽然Google有自己的隐私政策,但一旦您的数据到达他们的服务器,我们无法保证会发生什么。

我们希望能够提供完全在设备上的AI处理,但技术还没有达到那个水平。当强大的设备端模型可用时,我们将采用它们。

AI隐私与训练

Google会用我的数据进行训练吗?

不会。TL;2DO使用Google Gemini / Groq API(Vertex AI / Studio协议)。根据Google的企业数据政策,通过API提交的数据不会用于训练其基础模型

因为您使用自己的API密钥(BYOK),您是Google的正式客户。这为您提供了消费者"免费"聊天机器人所没有的企业级隐私保证。

常见问题

如果我丢失手机会怎样?

由于数据存储在本地,其安全性与您手机的锁屏一样。如果您的手机已加密(现代iOS/Android的标准配置)并已锁定,您的数据将无法访问。远程擦除您的手机将永久销毁数据。

你们的员工能看到我的邮件吗?

绝对不能。我们没有技术手段访问您的数据。我们没有"上帝模式"管理面板,因为我们没有您内容的数据库。

如果不卖数据,你们怎么赚钱?

我们收取简单的订阅费(每月1美元)。我们是软件公司,不是数据公司。您是客户,不是产品。

为什么需要Gmail的"读取"权限?

为了总结您的邮件,应用必须能够将它们下载到您的设备。此权限仅用于应用的功能目的,绝不会被滥用。