信任與合規
Caiioo 是在本地執行的軟體。我們不處理、儲存或存取您的數據。所有處理都在您的裝置、您的瀏覽器中進行,並受您的控制。
ESOF 安全認證運作原理
Caiioo 是一個完全在本地裝置上運行的本地軟體應用程式和跨平台系統。與 SaaS 平台不同,本公司沒有任何伺服器會接收、處理或儲存您的對話、提示、設定、輸出或附件。任何與第三方 AI 服務的連接都是使用您的憑據直接從您的裝置發起的。我們是一家軟體供應商,我們唯一的雲端服務僅用於授權驗證和加密私有中繼。
數據處理與隱私
非處理者身分
Caiioo 是一款本地執行的軟體應用程式。與 SaaS 平台不同,Caiioo 公司不處理、儲存或有權存取擴充功能所處理的數據。所有數據處理均在用戶的本地瀏覽器環境中進行。
根據 GDPR,Caiioo 是軟體供應商,而非數據處理者,因為我們不代表客戶處理個人數據。
零數據外傳
該擴充功能的設計功能如同一個安全信封。任何機密資訊、提示或個人數據都不會被發送到 Caiioo 伺服器。
唯一傳輸至我們系統的數據僅限於非敏感的帳務與帳號管理元數據:電子郵件、顯示名稱及頭像。
HIPAA 與法規合規性
非商業夥伴 (Non-BA)
Caiioo 不會建立、接收、維護或傳輸 HIPAA 定義的受保護健康資訊 (PHI)。該擴充功能作為本地工具運行,類似於本地文字編輯器或瀏覽器。
由於 Caiioo (公司) 從未例行存取用戶處理的數據,因此不符合商業夥伴 (Business Associate) 或分包商的資格。
使用者控管的連線
與第三方 LLM 的任何連接都是直接從用戶的裝置建立的。Caiioo 不充當這些數據流的代理或中間人。您的 API 金鑰、您的憑據、您的直接連接。
安全架構
SOC 2 適用性
Caiioo 不託管、儲存或管理客戶數據。因此,專注於雲端服務控制的 SOC 2 Type II 審計不適用於我們的業務模式。我們的安全重點在於:
- 程式碼完整性 — 經過加密簽署的版本發佈與公開稽核軌跡
- 安全沙箱 — 瀏覽器擴充功能架構強制執行的嚴格隔離
符合 GDPR 合規標準
我們透過「資料最小化」與「隱私設計」原則,全面符合 GDPR 標準。由於我們確保絕不接收個人資料,因此消除了與資料落地及跨境傳輸相關的風險。
- 資料最小化 — 我們僅收集電子郵件、姓名和頭像以供帳戶識別
- 隱私設計 — 系統架構確保我們完全無法存取您的資料
Caiioo 是一個零進入點 (Zero-Entry-Point) 客戶端應用程式。透過完全在瀏覽器的安全沙箱內執行,並僅發起經用戶授權的、指向現有 SaaS 供應商的出站連接,Caiioo 在不擴大組織外部攻擊面的情況下提供 AI 功能。
架構安全原則
Caiioo 的架構從設計上消除了整類風險。
不增加攻擊面
Caiioo 不充當伺服器——它是一個客戶端代理。該擴充功能不會在用戶裝置或公司防火牆上開啟任何連接埠。與 Google Workspace 或雲端 LLM 的連接是從瀏覽器向外發起的,使用組織已核准的相同 HTTPS/TLS 協定。由於沒有「Caiioo 雲端」充當代理,攻擊者無法透過入侵 Caiioo 的基礎設施來獲取客戶內部網路的存取權。
安全封裝
Caiioo 在 Chrome/Edge 擴充功能沙箱內運行。這提供了程序隔離——軟體無法存取瀏覽器之外的用戶檔案系統或其他應用程式——以及權限範圍限制,擴充功能僅與用戶明確授予的特定網頁和 API 進行互動。
非託管式資料流
Caiioo (公司) 從不參與數據交換。在標準模式下,數據直接從瀏覽器流向 LLM 供應商。在本地模式下,數據從不離開用戶裝置。在這兩種情況下,Caiioo 的伺服器僅處理與訂閱狀態相關的元數據——絕不會處理提示或文件的內容。
部署模式
標準模式 (混合雲)
瀏覽器直接連接到雲端 AI 供應商和 Google Workspace。Caiioo 驗證僅接收計費元數據。
離網模式 (完全本地)
所有 AI 運算皆透過本地 Ollama 伺服器進行。唯一的對外連線僅用於授權驗證。零資料外傳。
親自驗證
此頁面上的隱私聲明是結構性的——它們之所以成立是因為程式碼的編寫方式,而非僅憑我們的承諾。我們已將安全關鍵檔案發佈在公開儲存庫中,供任何人閱讀、審計或參考。
在 GitHub 上閱讀安全關鍵程式碼公開儲存庫包含的內容
- OAuth 連線模組——證明 Google Workspace OAuth 權杖是以加密方式儲存在您的裝置上,而非我們的伺服器。
- 中繼站的 WebSocket Durable Object——證明訊息匯流排是端到端加密的;我們負責路由密文,但無法讀取內容。
- OAuth 代碼交換處理程序——證明其為無狀態代理,不會持久化儲存權杖。
- 完整的資料庫結構描述與遷移記錄——證明我們擁有哪些欄位,更重要的是,證明我們沒有哪些欄位。
- ARCHITECTURE.md 架構說明——將每項隱私聲明追溯到特定的檔案與行號。
公開儲存庫不包含的內容
代理編排器、側邊欄 UI、模式與提示詞、內部管理工具以及部署腳本仍為專有。這些內容與隱私聲明的核心結構無關,是否開源是另一個獨立的決定。
監控實際的網路流量
如果您不習慣透過閱讀程式碼來進行驗證,可以在使用 Caiioo 時執行網路監控工具(macOS 上的 Little Snitch、Windows 上的 GlassWire 或任何平台上的 Wireshark)。您的 Workspace 資料僅會從您的裝置傳輸到 Google。傳輸到我們基礎設施的流量僅涵蓋少數可列舉的操作:OAuth 代碼交換、授權驗證、內容擷取、加密的裝置間訊息匯流排以及選擇性加入的訊息傳送 Webhook。這些操作都不會攜帶您的 Workspace 內容。
在我們的部落格文章中查看完整的流量表格 →發現安全性問題?
我們將安全研究人員視為合作夥伴。請發送電子郵件至 [email protected],或閱讀透明度儲存庫中 SECURITY.md 內的完整披露政策。我們承諾在兩個工作日內給予回覆。
資料流架構
瞭解您的資料存放位置以及誰可以存取。
您的裝置
- 對話與歷史紀錄
- API 金鑰與憑證
- 設定與偏好
- 檔案與附件
直接連線
您的裝置使用您的憑據直接連接到 AI 供應商 (OpenRouter, Ollama, Gemini 等)。Caiioo 絕不會介入此連接。
Caiioo 伺服器
- 無對話資料
- 無個人資訊
- 僅含計費元數據
Caiioo 對比 AI 雲端服務
更少的跳轉、無永久外部複本,以及在地優先的儲存與處理,意味著更少的攻擊面。
您
SaaS 平台(中心化)
整合中間商
內部 AI 流水線(對您隱藏)
每一次跳轉 = 另一份不受您控制的數據副本
散佈在您無法控制的伺服器中
- 其中心資料庫
- 其訓練流水線
- 其分析系統
- 其次級處理者的日誌
- 其合作夥伴的系統
- 未知的下游服務
您
您的設備 (本地優先)
選項 A:本地 (Ollama)
保留在裝置邊界內
選項 B:OpenRouter (ZDR)
提示詞輸入 → 回應輸出 → 不保留任何內容。
僅傳送當前提示詞(無狀態)。受合約保障。
外部 — 跨越裝置邊界
BYOA — 自備帳號
儲存在任何他人的伺服器上
- 您的裝置
無日誌。無儲存。不訓練。
由 OpenRouter 提供合約保障。
Caiioo 的 ZDR 過濾器確保僅
顯示符合 ZDR 規範的模型。
具體風險比較:不同情境下的攻擊面
| 風險情境 | 傳統 SaaS | Caiioo | 攻擊面 |
|---|---|---|---|
| 集中式數據洩漏 攻擊者入侵伺服器基礎設施 | ✘ 數百萬用戶的對話、文件和個人數據在單次事件中洩漏。集中式數據庫是駭客的首要目標。 | ✔ 不存在可被入侵的集中式存儲。每位用戶的數據僅保存在其設備上。雖然個人設備風險仍存在,但不會發生大規模洩漏。 | ● 高對比● 極小 |
| AI 流水線數據保留 您的提示詞被存儲在供應商日誌中 | ✘ SaaS 通常會為了「服務改進」將提示詞保留 30-90 天以上。子處理器也可能保留數據。 | ✔ OpenRouter 強制執行 ZDR —— 無日誌保留,無存儲。本地模型不保留任何內容。* | ● 高對比● 極小 |
| 供應鏈 / 子處理器洩漏 數據在未經同意的情況下轉發給第三方 AI | ✘ SaaS 可能通過未知的子處理器路由數據。下游環節沒有 ZDR 保證。 | ✔ 當 ZDR 過濾開啟時,OpenRouter 的 ZDR 涵蓋所有顯示的供應商。本地模型沒有網絡暴露風險。 | ● 高對比● 極小 |
| 使用您的數據進行模型訓練 私人對話被用於訓練 AI | ✘ 退出選項深埋在設置中,且在消費級方案中通常默認開啟。子處理器可能會利用保留的數據進行訓練。 | ✔ ZDR 供應商沒有數據可用於訓練。API 流量在合約上被排除。本地模型數據絕不離開設備。 | ● 高對比● 極小 |
| 魚叉式網路釣魚 / 身份攻擊 洩漏的 AI 對話助長了針對性攻擊 | ✘ 被竊取的聊天記錄會揭露興趣、行程、聯繫人和寫作風格 —— 這是針對性釣魚的理想素材。 | ✔ 無伺服器端存儲 = 攻擊者無法獲取批量數據。雖然存在短暫的傳輸中處理,但沒有持久數據可供外洩。 | ● 高對比● 極小 |
| 行為與使用習慣分析 使用數據被匯總成個人檔案 | ✘ 隱私政策通常允許使用分析、合作夥伴數據共享和行為畫像。 | ✔ 無分析管道。無合作夥伴存取。無保留日誌。Caiioo 在本地處理;OpenRouter 不儲存對話。 | ● 高對比● 極小 |
| 政府 / 法律要求 傳票、搜查令和大數據調取令 | ✘ 公司必須配合。保留的日誌和子處理器記錄都可能被強制要求提供。 | ✔ 沒有伺服器端數據可供傳喚 —— ZDR 供應商不保留任何內容。Private Sync 採用端到端加密。 | ● 高對比● 極小 |
| 單方面政策 / 服務條款變更 公司追溯性地擴大數據使用範圍 | ✘ 他們持有您的數據。追溯性的服務條款可以將用途擴展到訓練、廣告或共享。 | ✔ Caiioo 不持有可變現的數據。ZDR 供應商不保留任何內容。政策變更無法影響從未儲存過的內容。 | ● 高對比● 極小 |
* 此圖表假設已啟用 Caiioo 的 ZDR 過濾器。當 ZDR 模式開啟時,Caiioo 僅顯示 OpenRouter 在合約上強制執行零數據保留的 AI 模型 — 不提供 ZDR 的供應商將自動從模型列表中排除。
核心差異
傳統 SaaS 創造了一個私密數據的集中式誘餌 (Honeypot),然後將其通過缺乏零數據保留保證的不透明子處理器鏈進行傳輸。
Caiioo 將數據保留在您的裝置上,透過 Ollama 在本地運行 AI 或透過 OpenRouter 的 ZDR 閘道路由調用,並使用您自己的憑據 (BYOA) 直接連接到工具 — 確保任何伺服器上都不存在您數據的永久副本。
Caiioo 如何保護我的隱私?
Caiioo 從頭開始就被設計為隱私優先的代理平台。以下是內建於產品每一層的具體保護措施。
Caiioo 由資訊隱私專家 (FIP)、CISSP 認證安全專家、CIPP 認證隱私專業人士和 AIGP 認證 AI 治理專業人士在諮詢數據保護法律顧問後共同構建 — 使其成為首個真正從頭開始構建的隱私設計 (Privacy-by-Design) 代理平台。
| # | 隱私原則 | 功能實作 | 運作機制 |
|---|---|---|---|
| 1 | 資料最小化 | 極致數據最小化 | 我們僅收集您的電子郵件地址和顯示名稱用於帳戶帳單。不收集使用數據、瀏覽紀錄、對話內容或分析數據 — 絕無其他。永遠如此。 |
| 2 | 告知與同意 | 即時操作同意 | 在 AI 執行任何有影響的動作或連接到外部第三方之前,Caiioo 會顯示清晰的通知,說明意圖、動作詳情和風險等級 — 並需要您的明確核准。 |
| 3 | 資料可攜性 | 完整的數據可攜性 | 您的數據屬於您,可以隨時透過內建的備份與還原系統匯出。您永遠不會被綁定——隨時可以帶走您的對話、設定和配置。 |
| 4 | 機密性與完整性 | 零知識加密私密同步 | 採用 AES-256-GCM 加密與 PBKDF2 金鑰衍生技術(100,000 次迭代)。資料儲存在您的 Google Drive 中,並經過加密封裝,連 Google 都無法讀取。若您遺失密碼,連我們也無法復原。 |
| 5 | 目的限制 | 零分析與遙測 | 無分析服務、無追蹤像素、無事件收集,亦無回傳錯誤報告。我們對您如何使用產品完全無從得知。 |
| 6 | 同意與透明度 | 漸進式權限請求 | OAuth 權限範圍僅在您首次使用特定功能時才會請求,而非預先索取。每次都會清楚說明請求內容及其原因。 |
| 7 | 被遺忘權 (Art. 17) | 被遺忘權 | 提供從精確刪除到全面清除的完整資料刪除工具。您可以刪除個別對話、清除快取或抹除所有資料 —— 一切由您掌控。 |
| 8 | 儲存限制 | 保留重要內容,捨棄其餘部分 | 與強制執行全有或全無刪除的平台不同,Caiioo 讓您標記要保留的內容並自動捨棄其餘內容。可配置的保留政策會隨著時間推移清理累積的數據。 |
| 9 | 隱私設計與預設保護 | 在地優先架構 | 透過 Ollama 在本地執行 AI 模型,使用裝置端語音辨識 (Whisper) 與 TTS (Kokoro),並將所有內容儲存在本地。完全離線運作 —— 零資料需要離開您的電腦。 |
| 10 | 儲存限制 | 零數據保留模型選擇 | 透過 ZDR 政策篩選並選擇 AI 模型 —— 供應商處理您的請求後會立即將其捨棄。不留日誌、不進行訓練、不保留資料。 |
| 11 | 資料主體權利 | 細粒度位置控制 | 可選擇不分享位置、城市級精度或詳細地址資訊。一鍵即可停用 —— 所有快取的位置資料將立即永久清除。 |
| 12 | 透明度 | 透明的 AI 操作 | 任何可以寫入、修改、傳送或刪除資料的工具都需要您的明確核准。唯讀工具(搜尋、瀏覽、摘要)則會不間斷運行。在執行任何具有副作用的操作之前,您會看到意圖、動作詳情和風險等級。任何重要的操作都不會被隱藏或自動執行。 |