隐私模型
每款 Cordy 产品存储哪些数据、它们存于何处,以及如何清除。
Cordy 的隐私模型一句话就能讲清:请求路径上没有 Cordy 服务器,也没有遥测。 本页具体说明这意味着什么——包括诚实的边界。
核心保证
- 没有 Cordy 账号。 你从不注册,也没有需要登录的地方。
- 本地优先存储。 会话、设置与密钥都存于你的设备(网关则存于你自己的数据库)。
- 直连提供商。 你的提示词只发往你配置的模型提供商。Cordy 不查看、不存储、也不代理它们。
- 无遥测、无分析、无追踪。 Cordy 产品不会“回传总部”。
存在哪些数据,存于何处
| 产品 | 数据存放位置 | 离开设备的内容 |
|---|---|---|
| Chrome | 加密 IndexedDB + chrome.storage.local | 仅你的提示词,发往你选择的提供商(首次需一次性同意) |
| Desktop | 应用用户数据目录下的文件(项目、笔记、布局) | 除你手动触发、已脱敏路径的诊断导出外,什么都不发送 |
| Mobile | 本机 SQLDelight 数据库 + Keystore/钥匙串 | 仅你的提示词,发往你选择的提供商 |
| Gateway | 你自己的 PostgreSQL + Redis | 仅你发往上游的内容;默认不记录请求/响应正文 |
发送前先征得同意
在产品可能触达云端提供商的地方,它会先询问:
- Chrome 在首次向云端 AI 或 TTS 提供商发起请求前,会弹出一次性云端同意对话框。设备端模型(Chrome 内置 AI、浏览器内 Gemma、本地 Kokoro TTS)不会触发它,因为没有任何内容离开设备。
- Mobile 在引导阶段明确告知:提示词只发往你选择的提供商。
清除你的数据
- Chrome — 设置 → 数据与隐私:导出或删除全部数据;随时撤销云端同意与可选的站点/历史/书签权限。
- Mobile — 一键清除全部,抹除每一处本地边界:数据库、偏好、钥匙串、附件、图片缓存与临时文件。
- Desktop — 一切皆为本地文件;删除用户数据目录即可全部清除。
- Gateway — 数据库归你所有;采用标准 SQL 与保留策略控制。
诚实的边界
- 对于你发送的提示词,你的模型提供商有其自己的隐私政策。BYOK 意味着由你来选择这个对象。
- Cordy Gateway 会记录用量/成本元数据与审计日志(这正是它的职责)。它默认不记录请求/响应正文,也不声称任何合规认证——参见网关安全。