思畅 AI 隐私政策

思畅 AI 的核心设计目标之一是尽量减少服务器端持有的敏感内容。根据当前架构，聊天记录和本地角色数据优先保存在你的设备，而我们的服务端主要负责认证、额度控制、请求转发和必要的安全统计。

本政策解释我们会处理哪些信息、不会主动保存哪些信息、数据会流向哪些第三方，以及你可以做出的隐私选择。

• 账户信息：邮箱地址、密码哈希、用于客户端派生加密密钥的 `userSalt`、账户创建和更新时间。
• 登录会话：用于维持登录状态的必要会话信息和 Cookie / JWT 数据。
• 登录用户的用量统计：用户 ID、日期、每日消息次数等必要计数字段，用于执行配额限制。
• 匿名用户的防滥用统计：基于请求 IP 计算出的 SHA-256 哈希、日期和每日消息次数；我们使用哈希值而不是明文 IP 落库。
• 若你未来使用开发者功能：API Key 的哈希值、名称、最后使用时间等元数据；不会以明文形式长期保存可直接调用的密钥。

• 加密后的对话历史、角色会话、自建角色资料和部分偏好设置。
• 匿名模式下生成的 AES-256-GCM 密钥，其导出后的 JWK 会保存在 `localStorage` 中，以便下次继续解密本地数据。
• 登录模式下，浏览器会基于你输入的密码和服务器保存的 `userSalt` 在客户端通过 PBKDF2 派生会话密钥；该导出的会话密钥会保存在 `sessionStorage` 中，通常在浏览器会话结束后失效。
• 为完成首次派生流程，当前实现会在登录成功后把你刚输入的密码短暂写入 `sessionStorage` 的临时项 `sichang_password_tmp`，派生完成后再删除。

• 你与 AI 的聊天正文和 AI 返回的回复正文。
• 你在本地创建的角色设定、系统提示词以及保存在本机的会话历史。
• 以本项目当前实现来看，我们不会把对话导出文件、浏览器本地备份内容或匿名本地密钥上传到自己的数据库。

当你发起一次聊天请求时，浏览器会把消息发送到思畅 AI 的代理接口。代理接口会先做模型白名单校验、请求大小限制、上下文长度估算和每日配额检查，然后将请求转发给相应的上游模型服务。

当前实现中，部分模型走 Venice AI，部分模型走 OpenRouter；最终参与推理的模型提供方可能进一步处理你的提示词和回复。我们不会在请求体中主动附带你的邮箱地址，但上游服务可能依据自己的隐私政策、日志策略和基础设施规则处理这些数据。

• 部署与应用层：Vercel / Cloudflare 等托管与分发基础设施可能接触必要的网络元数据。
• 数据库层：PostgreSQL / Supabase 类数据库用于保存账号与用量计数，而不是聊天正文。
• 推理层：Venice AI、OpenRouter 及其背后的模型提供方负责生成回答，相关数据处理受其各自政策约束。

本地对话内容通过浏览器 Web Crypto API 使用 AES-256-GCM 加密。登录用户的密钥由密码和 `userSalt` 通过 PBKDF2（310000 次迭代，SHA-256）派生；服务器仅保存 `userSalt` 和密码哈希，不保存你的明文密码。

同时你也应理解，本地存储并不等于绝对安全。如果他人能够访问你的浏览器配置文件、设备账户、调试环境或当前会话，他们仍可能接触到本地缓存、导出的会话密钥或尚未清除的临时数据。

本地数据会一直保留在你的设备上，直到你在设置页清除、手动删除浏览器存储、导出后覆盖，或浏览器自身清理这些数据为止。

服务器侧的账户资料和用量计数会在账户存续、风控审计、故障排查和履行法定义务所需期间内保存。我们当前不会保存聊天日志，因此不存在由我们提供的“服务器聊天历史回放”。

你可以直接在设置页导出本地对话备份并清除本地数据；如果你不希望继续让服务器保存账户级信息，应停止使用服务，并在后续我们开放删除渠道时申请删除账户资料。

• 你可以直接匿名使用基础功能，从而避免在服务器侧创建账户资料。
• 你可以避免向服务提交不必要的敏感个人信息、商业秘密或受保密义务约束的文件。
• 你可以在设置页清除本地聊天数据、导出备份，或通过关闭浏览器会话来移除 `sessionStorage` 中的会话级数据。
• 如果你不能接受本政策描述的数据处理方式，最直接的选择是停止使用本服务。

随着产品、上游模型、部署方式和适用法律变化，我们可能更新本政策；当前版本最后更新时间为 2026-04-09。

新版本会在本页面发布。你在更新后继续使用服务，通常意味着你接受更新后的隐私政策。