Pagtitiwala at Pagsunod
Ang Caiioo ay software na lokal na tumatakbo. Hindi namin pinoproseso, iniimbak, o ina-access ang iyong data. Ang lahat ng pagproseso ay nangyayari sa iyong device, sa iyong browser, sa ilalim ng iyong kontrol.
Sertipikadong Ligtas ng ESOFPaano Ito Gumagana
Ang Caiioo ay isang lokal na software application at cross-platform na sistema na ganap na tumatakbo sa mga lokal na device. Hindi tulad ng mga SaaS platform, ang kumpanya ay walang mga server na tumatanggap, nagpoproseso, o nag-iimbak ng iyong mga pag-uusap, prompt, setting, output, o attachment. Anumang koneksyon sa mga third-party AI service ay direktang ginagawa mula sa iyong device gamit ang iyong mga credential. Kami ay isang software vendor, at ang aming tanging cloud services ay para sa lisensya at encrypted private relay.
Pagproseso ng Data at Privacy
Non-Processor Status
Ang Caiioo ay isang locally-executing software application. Hindi tulad ng mga SaaS platform, ang kumpanyang Caiioo ay hindi nagpoproseso, nag-iimbak, o may access sa data na hawak ng extension. Ang lahat ng pagproseso ng data ay nangyayari sa loob ng lokal na browser environment ng user.
Sa ilalim ng GDPR, ang Caiioo ay isang Software Vendor, hindi isang Data Processor, dahil hindi kami humahawak ng personal na data para sa customer.
Walang Data Export
Ang extension ay dinisenyo upang gumana bilang isang secure na sobre. Walang kumpidensyal na impormasyon, prompt, o personal na data ang ipinapadala sa mga server ng caiioo.
Ang tanging data na inilalabas sa aming mga system ay limitado sa mga non-sensitive na billing at account management metadata: email, display name, at avatar.
HIPAA at Regulatory Compliance
Hindi isang Business Associate
Ang Caiioo ay hindi gumagawa, tumatanggap, nagpapanatili, o nagpapadala ng Protected Health Information (PHI) gaya ng tinukoy ng HIPAA. Ang extension ay gumagana bilang isang lokal na tool, katulad ng isang lokal na text editor o browser.
Dahil ang Caiioo (ang kumpanya) ay walang regular na access sa data na pinoproseso ng user, hindi ito itinuturing na isang Business Associate o Subcontractor.
Koneksyong Kontrolado ng User
Anumang koneksyon sa mga third-party LLM ay direktang itinatatag mula sa device ng user. Ang Caiioo ay hindi nagsisilbing proxy o tagapamagitan para sa mga data stream na ito. Ang iyong mga API key, iyong mga credential, iyong direktang koneksyon.
Arkitektura ng Seguridad
SOC 2 Applicability
Ang Caiioo ay hindi nag-ho-host, nag-iimbak, o nagpapatakbo ng data ng customer. Dahil dito, ang isang SOC 2 Type II audit—na nakatuon sa mga cloud service control—ay hindi naaangkop sa aming modelo ng negosyo. Ang aming pokus sa seguridad ay nasa:
- Code Integrity — mga cryptographically signed release at open audit trail
- Secure Sandbox — ang browser extension architecture ay nagpapatupad ng mahigpit na isolation
Pagsunod sa GDPR
Kami ay ganap na sumusunod sa GDPR sa pamamagitan ng Data Minimization at Privacy by Design. Sa pagtiyak na hindi kami kailanman makakatanggap ng personal na data, inaalis namin ang mga panganib na nauugnay sa data residency at international transfers.
- Data Minimization — kinokolekta lamang namin ang email, pangalan, at avatar para sa pagkakakilanlan ng account
- Privacy by Design — dahil sa architecture, imposibleng ma-access namin ang iyong data
Ang Caiioo ay isang Zero-Entry-Point client application. Sa pamamagitan ng pagtakbo nang buo sa loob ng secure sandbox ng browser at paggawa lamang ng mga outbound, user-authorized na koneksyon sa mga umiiral na SaaS provider, nagbibigay ang Caiioo ng mga kakayahan ng AI nang hindi pinalalawak ang external attack surface ng organisasyon.
Mga Prinsipyo ng Arkitektural na Seguridad
Ang arkitektura ng Caiioo ay nag-aalis ng buong kategorya ng panganib sa pamamagitan ng disenyo nito.
Walang Pagtaas sa Attack Surface
Ang Caiioo ay hindi nagsisilbing server—ito ay isang client-side agent. Ang extension ay hindi nagbubukas ng anumang port sa device ng user o sa corporate firewall. Ang mga koneksyon sa Google Workspace o Cloud LLMs ay sinisimulan palabas mula sa browser, gamit ang parehong HTTPS/TLS protocol na aprubado na ng organisasyon. Dahil walang "Caiioo Cloud" na nagsisilbing proxy, hindi maaaring pasukin ng isang attacker ang imprastraktura ng Caiioo upang makakuha ng access sa internal network ng customer.
Ang Secure Envelope
Ang Caiioo ay gumagana sa loob ng Chrome/Edge extension sandbox. Nagbibigay ito ng isolation sa proseso—hindi ma-a-access ng software ang file system ng user o iba pang application sa labas ng browser—at permission scoping, kung saan ang extension ay nakikipag-ugnayan lamang sa mga partikular na web page at API na tahasang pinayagan ng user.
Non-Custodial Data Flow
Ang Caiioo (ang kumpanya) ay kailanman hindi nagiging bahagi ng palitan ng data. Sa standard model, ang data ay direktang dumadaloy mula sa browser patungo sa LLM provider. Sa local model, ang data ay hindi kailanman lumalabas sa device ng user. Sa parehong senaryo, ang mga server ng Caiioo ay humahawak lamang ng metadata na may kaugnayan sa katayuan ng subscription—kailanman ay hindi ang nilalaman ng mga prompt o dokumento.
Mga Deployment Model
Standard (Hybrid Cloud)
Direktang kumokonekta ang browser sa mga cloud AI provider at Google Workspace. Ang Caiioo auth ay tumatanggap lamang ng billing metadata.
Air-Gapped (Ganap na Lokal)
Lahat ng AI processing ay sa pamamagitan ng lokal na Ollama server. Ang tanging outbound na koneksyon ay para sa license validation. Zero data export.
I-verify ito mismo
Ang mga pahayag tungkol sa privacy sa pahinang ito ay istruktural — nananatili ang mga ito dahil sa kung paano isinulat ang code, hindi dahil sa aming pangako. Inilathala namin ang mga security-critical na file sa isang pampublikong repository upang kahit sino ay mabasa, ma-audit, o magamit ang mga ito bilang sanggunian.
Basahin ang security-critical na code sa GitHubAno ang nasa pampublikong repository
- Ang OAuth connection module — nagpapatunay na ang mga Workspace OAuth token ay nakaimbak nang encrypted sa iyong device, hindi sa aming mga server.
- Ang relay na WebSocket Durable Object — nagpapatunay na ang message bus ay end-to-end encrypted; niruruta namin ang ciphertext ngunit hindi namin ito mababasa.
- Ang OAuth code-exchange handler — nagpapatunay na ito ay isang stateless proxy na hindi nagpapanatili ng mga token.
- Ang buong database schema at mga migration — nagpapatunay kung anong mga column ang mayroon kami at, higit sa lahat, kung anong mga column ang wala kami.
- Isang ARCHITECTURE.md na salaysay — nag-uugnay sa bawat pahayag ng privacy pabalik sa isang partikular na file at linya.
Ano ang wala sa pampublikong repository
Ang agentic orchestrator, ang side-panel UI, ang mga mode at prompt, internal admin tooling, at ang mga deployment script ay nananatiling proprietary. Hindi sila kritikal para sa mga pahayag ng privacy, at ang paggawa sa mga itong open-source ay isang hiwalay na desisyon.
Subaybayan ang aktwal na network traffic
Kung ang pagbabasa ng code ay hindi ang iyong gustong paraan ng pag-verify, magpatakbo ng network monitor (Little Snitch sa macOS, GlassWire sa Windows, Wireshark kahit saan) habang gumagamit ng caiioo. Ang data ng iyong Workspace ay direktang pumupunta mula sa iyong device patungo sa Google. Ang trapiko sa aming imprastraktura ay sumasaklaw lamang sa maliit at mabilang na listahan ng mga operasyon: OAuth code-exchange, pagpapatunay ng lisensya, pagkuha ng nilalaman, ang naka-encrypt na device-to-device message bus, at opt-in messaging webhooks. Wala sa mga iyon ang nagdadala ng nilalaman ng iyong Workspace.
Tingnan ang buong traffic table sa aming blog post →Nakakita ng isyu sa seguridad?
Itinuturing namin ang mga security researcher bilang mga katuwang. Mag-email sa [email protected], o basahin ang buong patakaran sa pagsisiwalat sa SECURITY.md sa transparency repo. Kami ay nangangakong magbibigay ng pagkilala sa loob ng dalawang araw ng negosyo.
Arkitektura ng Data Flow
Pag-unawa kung saan nananatili ang iyong data at kung sino ang may access dito.
Iyong Device
- Mga usapan at history
- Mga API key at credential
- Mga setting at preference
- Mga file at attachment
Direktang Koneksyon
Ang iyong device ay direktang kumokonekta sa mga AI provider (OpenRouter, Ollama, Google, atbp.) gamit ang iyong mga credential. Ang Caiioo ay hindi kailanman nasa gitna ng koneksyong ito.
Mga Server ng Caiioo
- Walang data ng usapan
- Walang personal na impormasyon
- Billing metadata lamang
Caiioo v. AI Cloud Services
Mas kaunting pagpasa, walang permanenteng panlabas na kopya, at local-first na storage at pagproseso ay nangangahulugang mas kaunting banta sa seguridad.
Ikaw
SaaS Platform (Sentralisado)
Integration Middleman
Internal AI Pipeline (Nakatago sa Iyo)
Bawat pagpasa = panibagong kopya ng iyong data sa labas ng iyong kontrol
sa mga server na hindi mo kontrolado
- Kanilang sentral na database
- Kanilang training pipeline
- Kanilang mga analytics system
- Mga log ng kanilang mga sub-processor
- Mga system ng kanilang mga partner
- Mga hindi kilalang downstream service
Ikaw
Iyong Device (Local-First)
Opsyon A: Lokal (Ollama)
Nananatili sa loob ng hangganan ng device
Opsyon B: OpenRouter (ZDR)
Prompt papasok → Tugon palabas → Walang pinapanatili.
Kasalukuyang prompt lang ang ipinapadala (stateless). Garantisado sa kontrata.
Eksternal — lumalampas sa hangganan ng device
BYOA — Bring Your Own Account
sa mga server ng ibang tao
- Iyong device
Walang logs. Walang storage. Walang pagsasanay.
Ipinapatupad sa kontrata ng OpenRouter.
Tinitiyak ng ZDR filter ng Caiioo na tanging
mga modelong sumusunod sa ZDR ang ipinapakita.
Kongretong Paghahambing ng Panganib: Attack Surface ayon sa Sitwasyon
| Sitwasyon ng Panganib | Tradisyonal na SaaS | Caiioo | Lawak ng Atake |
|---|---|---|---|
| Sentralisadong Paglabag sa Datos Nakompromiso ng attacker ang imprastraktura ng server | ✘ Milyun-milyong chat, file, at personal na datos ng mga user ang malalantad sa isang kaganapan. Sentralisadong DB = pangunahing target. | ✔ Walang sentralisadong imbakan na maaaring pasukin. Ang datos ng bawat user ay nasa kanilang device lamang. May panganib pa rin sa indibidwal na device, pero walang malawakang pagkakalantad. | ● MATAASlaban sa● NAPAKABABA |
| Pagpapanatili ng Datos sa AI Pipeline Ang iyong mga prompt ay nakaimbak sa mga log ng provider | ✘ Pinapanatili ng SaaS ang mga prompt sa loob ng 30–90+ araw para sa "pagpapabuti ng serbisyo." Maaari ring magpanatili ang mga sub-processor. | ✔ Ipinapatupad ng OpenRouter ang ZDR — walang pagpapanatili ng log, walang imbakan. Walang pinapanatili ang mga lokal na modelo.* | ● MATAASlaban sa● NAPAKABABA |
| Leak sa Supply Chain / Sub-Processor Datos na ipinapasa sa third-party AI nang walang pahintulot | ✘ Maaaring i-route ng SaaS ang datos sa mga hindi kilalang sub-processor. Walang garantiya ng ZDR sa mga susunod na proseso. | ✔ Sakop ng ZDR ng OpenRouter ang lahat ng provider na ipinapakita kapag naka-on ang ZDR filtering. Ang mga lokal na modelo ay walang exposure sa network. | ● MATAASlaban sa● NAPAKABABA |
| Pagsasanay ng Modelo sa Iyong Datos Mga pribadong pag-uusap na ginagamit sa pagsasanay ng AI | ✘ Ang opt-out ay nakatago sa mga setting, madalas na naka-on by default para sa mga consumer tier. Maaaring magsanay ang mga sub-processor gamit ang napanatiling datos. | ✔ Ang mga ZDR provider ay walang datos na magagamit sa pagsasanay. Ang trapiko ng API ay kontraktwal na hindi kasama. Ang mga lokal na modelo ay hindi kailanman umaalis sa device. | ● MATAASlaban sa● NAPAKABABA |
| Spearphishing / Mga Atake sa Identidad Ang mga nag-leak na AI chat ay ginagamit sa mga target na atake | ✘ Ang mga nakompromisong chat ay naglalantad ng mga interes, iskedyul, contact, at istilo ng pagsulat — mainam para sa target na phishing. | ✔ Walang server-side store = walang bultong datos para sa mga attacker. May maikling pagproseso habang ipinapadala, pero walang permanenteng datos na mananakaw. | ● MATAASlaban sa● NAPAKABABA |
| Behavioral at Usage Profiling Datos ng paggamit na pinagsasama-sama sa mga profile | ✘ Karaniwang pinapayagan ng mga patakaran sa privacy ang analytics ng paggamit, pagbabahagi ng datos sa partner, at behavioral profiling. | ✔ Walang analytics pipeline. Walang access ang partner. Walang itinatagong log. Ang Caiioo ay nagpoproseso nang lokal; hindi nag-iimbak ng mga pag-uusap ang OpenRouter. | ● MATAASlaban sa● NAPAKABABA |
| Mga Kahilingan ng Gobyerno / Legal Mga subpoena, warrant, at bultong order ng datos | ✘ Dapat sumunod ang kumpanya. Ang mga napanatiling log at record ng sub-processor ay maaaring hingin lahat sa ilalim ng batas. | ✔ Walang server-side na datos para sa subpoena — walang pinapanatili ang mga ZDR provider. Ang Private Sync ay E2E encrypted. | ● MATAASlaban sa● NAPAKABABA |
| Unilateral na Pagbabago sa Patakaran / ToS Retroaktibong pagpapalawak ng kumpanya sa paggamit ng datos | ✘ Hawak nila ang iyong datos. Ang mga retroaktibong ToS ay maaaring magpalawak ng paggamit para sa pagsasanay, pag-aunsyo, o pagbabahagi. | ✔ Ang Caiioo ay walang hawak na data para pagkakitaan. Walang itinatago ang mga ZDR provider. Ang mga pagbabago sa patakaran ay hindi makakaapekto sa kung ano ang hindi kailanman naimbak. | ● MATAASlaban sa● NAPAKABABA |
* Ipinapalagay ng tsart na ito na naka-enable ang ZDR filter ng caiioo. Kapag naka-on ang ZDR mode, tanging mga AI model lang ang ipinapakita ng Caiioo kung saan ang OpenRouter ay may kontratang nagpapatupad ng zero data retention — ang mga provider na hindi nag-aalok ng ZDR ay awtomatikong inaalis sa listahan ng mga model.
ANG PANGUNAHING PAGKAKAIBA
Ang tradisyunal na SaaS ay lumilikha ng isang sentralisadong honeypot ng sensitibong datos, pagkatapos ay ipinapasa ito sa isang malabong chain ng mga sub-processor nang walang mga garantiya ng zero-data-retention.
Pinapanatili ng Caiioo ang data sa iyong device, pinapatakbo ang AI nang lokal sa pamamagitan ng Ollama o niruruta ang mga tawag sa pamamagitan ng ZDR gateway ng OpenRouter, at kumokonekta sa mga tool direkta gamit ang iyong sariling mga credential (BYOA) — tinitiyak na walang permanenteng kopya ng iyong data ang umiiral sa anumang server.
Paano Pinoprotektahan ng Caiioo ang Aking Privacy?
Ang Caiioo ay dinisenyo mula sa simula bilang isang privacy-first agent platform. Narito ang mga konkretong proteksyon na binuo sa bawat layer ng produkto.
Ang Caiioo ay binuo ng mga Fellows of Information Privacy (FIP), mga CISSP-certified security expert, CIPP-certified privacy professional, at AIGP-certified AI governance professional, sa pakikipagsangguni sa data protection counsel — ginagawa itong unang tunay na privacy-by-design agentic platform na binuo mula sa simula.
| # | Prinsipyo ng Privacy | Ang Aming Binuo | Paano Ito Gumagana |
|---|---|---|---|
| 1 | Data Minimization | Radikal na Data Minimization | Kinokolekta lamang namin ang iyong email address at pangalan para sa pagsingil sa account. Walang data ng paggamit, walang kasaysayan ng pag-browse, walang nilalaman ng pag-uusap, walang analytics — wala nang iba pa. Kailanman. |
| 2 | Paunawa at Pahintulot | Just-in-Time Action Consent | Bago magsagawa ang AI ng anumang makabuluhang aksyon o kumonekta sa isang external na third party, nagpapakita ang Caiioo ng malinaw na abiso na nagpapakita ng layunin, mga detalye ng aksyon, at antas ng panganib — na nangangailangan ng iyong tahasang pag-apruba. |
| 3 | Data Portability | Ganap na Data Portability | Ang iyong data ay sa iyo at maaaring i-export anumang oras sa pamamagitan ng built-in backup at restore system. Hindi ka kailanman naka-lock in — dalhin ang iyong mga usapan, setting, at configuration kahit saan. |
| 4 | Confidentiality at Integrity | Zero-Knowledge na Nakaka-encrypt na Pribadong Sync | AES-256-GCM encryption na may PBKDF2 key derivation (100,000 iterations). Ang data ay nakaimbak sa iyong Google Drive, na nakabalot sa encryption na hindi mababasa kahit ng Google. Kapag nawala ang iyong passphrase, kahit kami ay hindi ito mababawi. |
| 5 | Limitasyon sa Layunin | Zero Analytics at Telemetry | Walang analytics services, walang tracking pixels, walang event collection, at walang error reporting na nagpapadala ng impormasyon pabalik sa amin. Wala kaming anumang visibility sa kung paano mo ginagamit ang produkto. |
| 6 | Pahintulot at Transparency | Incremental Permission Requests | Ang mga OAuth scope ay hinihingi lamang kapag gagamitin mo sa unang pagkakataon ang isang partikular na feature — hindi agad-agad sa simula. May malinaw na paliwanag sa kung ano ang hinihingi at bakit, sa bawat pagkakataon. |
| 7 | Karapatang Mabura (Art. 17) | Karapatan sa Pagbura (Right to Erasure) | Komprehensibong mga tool sa pagbura ng data mula sa surgical precision hanggang sa full purge. Burahin ang mga indibidwal na pag-uusap, linisin ang mga cache, o burahin ang lahat ng data nang lubusan — ikaw ang may kontrol sa kung ano ang aalisin. |
| 8 | Limitasyon sa Storage | Itago ang Mahalaga, Itapon ang Iba | Hindi tulad ng mga platform na pumupuwersa ng all-or-nothing na pagbura, hinahayaan ka ng Caiioo na markahan kung ano ang itatago at awtomatikong itapon ang iba pa. Ang mga nako-configure na retention policy ay naglilinis ng naipong data sa paglipas ng panahon. |
| 9 | Privacy by Design & Default | Local-First Architecture | Magpatakbo ng mga AI model nang lokal gamit ang Ollama, on-device speech recognition (Whisper) at TTS (Kokoro), at i-store ang lahat nang lokal. Gumagana nang kumpletong offline — walang data na kailangang lumabas sa iyong machine. |
| 10 | Limitasyon sa Storage | Pagpili ng Zero Data Retention Model | I-filter at piliin ang mga AI model na may mga ZDR policy — ipoproseso ng provider ang iyong request at agad itong itatapon. Walang logging, walang training, walang retention. |
| 11 | Karapatan ng Data Subject | Granular na Kontrol sa Lokasyon | Pumili sa pagitan ng walang location sharing, city-level precision, o buong detalye ng address. I-disable sa isang click — lahat ng cached location data ay agad at permanenteng buburahin. |
| 12 | Transparency | Transparent na AI Actions | Ang bawat tool na maaaring sumulat, magbago, magpadala, o magbura ng data ay nangangailangan ng iyong malinaw na pag-apruba. Ang mga read-only na tool (paghahanap, pag-browse, pag-summarize) ay gumagana nang walang abala. Makikita mo ang layunin, mga detalye ng aksyon, at antas ng panganib bago isagawa ang anumang bagay na may side effect. Walang mahalagang bagay ang nakatago o awtomatiko. |
May mga katanungan tungkol sa aming security posture?
Basahin ang aming buong Patakaran sa Privacy para sa detalyadong impormasyon tungkol sa kung paano dumadaloy ang data sa extension, o magsimula sa Caiioo ngayon.