隐私政策
最后更新:2026年7月16日
1. 数据收集范围
DesireCore 采用"本地优先"的数据存储原则。应用可能处理的数据包括:用户账户信息(如用户名、邮箱)、用户创建的 AI 智能体配置、对话历史记录、生成文件和应用使用统计信息。除下文明确说明的联网场景外,核心数据默认存储在用户的本地设备上。
除必要的账户验证和软件更新检查外,所有核心数据默认存储在用户的本地设备上。我们不会在未经明确同意的情况下将用户数据上传到云端。
为了改进产品和统计安装量,DesireCore 在每次启动时会向我们的更新服务器发送匿名安装统计信息。该信息仅包含:基于硬件信息生成的匿名设备标识(SHA-256 哈希,不可逆)、客户端版本号、操作系统平台和 CPU 架构。我们不会收集任何个人身份信息,且该设备标识无法与您的个人身份关联。此数据仅用于统计独立安装数量和平台分布。
我们不会主动收集或审核仅保存在本地的智能体内容。但当用户主动使用账户服务、更新检查、远程连接、第三方模型或其他联网能力时,完成该功能所需的数据会发送到相应服务。用户应在使用前确认传输范围和服务提供商的政策。
2. AgentFS 隐私架构
DesireCore 采用自主研发的 AgentFS 文件系统架构,确保用户数据的完全隔离和隐私保护。
用户画像数据存储在独立的用户域 users/<user_id>/ 目录下,每个用户的数据与其他用户完全隔离。关系数据(如 AI 助手与用户的互动模式)归属于用户域,不与"同伴"(即其他 AI 助手或用户)共享。
这种架构为不同用户域和智能体工作区提供逻辑隔离。智能体默认只能访问其获准的工作区;在用户明确要求并通过审批后,智能体可以执行受审计的跨智能体 AgentFS 操作。敏感路径仍受系统硬性限制。设备账户或文件系统权限被绕过、用户主动授权导出或跨域操作时,不应将这种隔离理解为绝对的物理安全边界。
3. 本地存储原则
默认情况下,所有用户数据仅存储在本地设备上。这包括:对话记录、AI 助手配置、用户偏好设置、以及生成的文件。
本地数据的基础保护依赖操作系统账号、文件权限和设备安全设置。DesireCore 会限制智能体直接读取本地密钥存储;用户仍应启用系统磁盘加密、锁屏和账号访问控制,并妥善保护设备和备份介质。
应用内普通备份不会直接包含原始本地密钥文件,也不应被理解为整个备份包均已加密。使用「迁移到新设备」时,用户可以明确选择将符合条件的、由用户管理的算力 API Key 写入独立加密载荷:迁移口令经 scrypt 派生密钥,载荷使用 AES-256-GCM 加密并校验完整性。账号会话、官方云端凭据以及 OAuth、CLI 或其他外部登录流程管理的凭据不在此范围内。
DesireCore 不保存或找回迁移口令。即使迁移包包含加密密钥,用户仍应将迁移包与口令分开保存、限制访问,并避免导入来源不可信或完整性可疑的文件。直接复制整个本地数据目录不同于应用内导出,可能同时复制本地密钥存储,用户应将此类副本按敏感凭据数据进行保护。
4. 数据安全
我们采用多层安全措施保护 DesireCore 应用本身的用户数据:
- 传输安全:应用访问受支持的在线服务和第三方 API 时使用 HTTPS/TLS;最终安全性也取决于用户配置的服务端点
- 存储安全:本地数据受操作系统账号和文件权限保护;可选迁移的算力 API Key 使用独立的 AES-256-GCM 加密载荷
- 访问控制:用户应使用操作系统锁屏、账号权限、磁盘加密和备份访问控制保护本地数据
- 代码安全:公开发布的源代码和第三方组件可按其各自许可证接受审查
虽然我们致力于保护数据安全,但没有任何系统是绝对安全的。用户应采取合理措施保护自己的设备和账户凭证。
需要特别说明的是:我们无法对用户创建的智能体及其与第三方 API 的交互进行任何安全监控或内容审核。用户通过智能体传输到第三方服务的数据不在我们的控制或保护范围内,相关安全责任由用户和第三方服务提供商共同承担。
5. 用户权利
用户对其数据拥有完全控制权:
- 访问权:用户可以随时查看其存储的所有数据
- 导出权:支持将数据导出为便携格式进行备份或迁移
- 删除权:用户可以永久删除其账户和所有相关数据
- 更正权:用户可以随时修改其个人资料和偏好设置
- 限制处理权:用户可以选择禁用特定数据收集功能(如使用统计)
6. 用户创建的智能体
DesireCore 允许用户创建和配置个性化的 AI 智能体。这些智能体完全由用户自主定义其行为、个性特征和功能设置。
我们无法对用户创建的智能体及其使用进行监管。用户创建的智能体所产生的所有行为、内容和交互均由用户自行控制和负责。用户应确保其创建的智能体及使用行为符合适用法律法规,不生成或传播任何违法、有害或侵权内容。
用户对其创建的智能体负有完全责任,包括但不限于:智能体的行为设定、生成的内容、与其他用户或系统的交互。我们不承担因用户创建的智能体而产生的任何直接或间接责任。
7. 第三方 API 配置
DesireCore 可以连接第三方 AI 服务,包括用户配置的 API、受支持的云服务或账户连接方式。某些连接能力可能使用服务商的官方 SDK,但使用官方 SDK 不代表 DesireCore 获得了该服务商对所有账户类型、凭证或使用场景的授权。
当用户配置并使用第三方服务时,为生成回复或执行任务所需的提示词、上下文、附件、工具结果、账户标识和诊断信息可能传输至用户指定或功能所依赖的第三方服务器。具体数据范围取决于用户的操作、模型提供商和所启用功能;第三方收到的数据受其隐私政策和服务条款约束。
我们建议用户在连接任何第三方服务前,仔细阅读并理解相应服务商的隐私政策和服务条款。用户应确认其账户、订阅和凭证被允许用于该连接方式,并对 API 密钥、登录令牌及其他凭证的安全负责。
8. 数据保留
用户数据仅在用户拥有活跃账户期间保留。用户删除账户后,所有相关数据将在 30 天内从我们的系统中永久删除(受技术和法律要求限制)。
本地存储的数据保留完全由用户控制。卸载应用不会自动删除本地数据文件,用户需要手动清除或使用应用内的数据删除功能。
9. 儿童隐私
DesireCore 不面向 13 岁以下儿童提供服务。如果我们发现收集了 13 岁以下儿童的个人信息,我们将立即删除该信息。
家长或监护人如果认为其子女向我们提供了个人信息,请立即联系我们,我们将协助删除相关数据。
10. 政策更新
我们可能会不时更新本隐私政策。重大变更将通过应用内通知告知用户。
继续使用我们的服务即表示您同意修订后的隐私政策。我们鼓励用户定期查看本政策以了解最新信息。
11. 联系我们
如果您对本隐私政策有任何疑问或建议,或希望行使您的数据权利,请通过以下方式联系我们:
电子邮件:ceo@solar-corona.com
我们承诺在收到您的请求后 30 天内予以回复。