Bảo mật và quyền riêng tư dữ liệu

Tổng quan

Whisperer lắng nghe các cuộc gọi của bạn, vì vậy chúng tôi áp dụng cách tiếp cận thận trọng đối với dữ liệu của bạn: chúng tôi chỉ lưu những gì cần thiết cho lịch sử và tìm kiếm, chúng tôi cung cấp chế độ không lưu bất cứ thứ gì, và chúng tôi bảo vệ quyền truy cập trên nguyên tắc fail-closed (mặc định từ chối). Trang này giải thích những gì được lưu trữ và lưu ở đâu, chế độ riêng tư không lưu nhật ký hoạt động ra sao, những cơ chế nào bảo vệ dữ liệu của bạn, và làm thế nào để xóa nó.

Các nguyên tắc cốt lõi: bảng overlay vô hình khi chia sẻ màn hình, các tệp được lưu trữ cục bộ trên máy Mac của bạn, và quyền truy cập vào dữ liệu của người dùng khác bị khóa chặt bằng các kiểm tra quyền sở hữu. Chúng tôi không tuyên bố những chứng nhận mà sản phẩm không có — chỉ nêu những biện pháp thực sự được triển khai.

Khi nào nên dùng

• Bạn đang đánh giá Whisperer dưới góc độ quyền riêng tư trước khi sử dụng cho các cuộc gọi công việc.
• Bạn muốn hiểu những gì được lưu sau một phiên và những gì không.
• Bạn cần thực hiện một cuộc trò chuyện nhạy cảm mà không để lại dấu vết (chế độ không lưu nhật ký).
• Bạn muốn xóa dữ liệu của mình hoặc hiểu rõ quyền của bạn đối với nó (GDPR).

Những gì được lưu trữ và lưu ở đâu

• Bản ghi chép và câu trả lời của mô hình được lưu cho lịch sử và tìm kiếm xuyên suốt các phiên đã qua — ngoại trừ các phiên ở chế độ không lưu nhật ký (xem bên dưới).
• Cơ sở kiến thức (ghi chú) được giữ lại cho đến khi bạn tự xóa nó.
• Các tệp (ví dụ như tài liệu) được lưu trữ cục bộ: không có kho lưu trữ đối tượng bên ngoài (S3).
• Token truy cập của ứng dụng khách trên macOS được lưu trong Keychain và được mã hóa.

Chế độ không lưu nhật ký (riêng tư)

Không lưu nhật ký (phù du) là một chế độ phiên dành cho các cuộc trò chuyện nhạy cảm:

1. Bản ghi chép và câu trả lời của mô hình không được ghi vào cơ sở dữ liệu.
2. Sau khi phiên kết thúc, dữ liệu liên quan sẽ bị xóa.
3. Số phút vẫn được tính vào hạn mức của bạn (một bộ đếm riêng, no_logs_minutes_used) — bạn tiết kiệm dung lượng lưu trữ, chứ không phải thời gian.

Hãy dùng chế độ không lưu nhật ký khi nội dung cuộc trò chuyện quan trọng hơn lịch sử: các cuộc đàm phán ràng buộc bởi NDA, các chủ đề cá nhân hoặc y tế, các cuộc phỏng vấn bảo mật.

Cách dữ liệu được bảo vệ

Whisperer được xây dựng trên nguyên tắc bảo mật theo mặc định:

1. Fail-closed. Nếu một quyền truy cập không được xác nhận rõ ràng, quyền truy cập sẽ bị từ chối — chứ không được cấp "để phòng hờ".
2. Kiểm tra quyền sở hữu. Bạn chỉ thấy các phiên, ghi chú và thiết lập của riêng mình; một yêu cầu tới định danh của người dùng khác sẽ bị từ chối.
3. Xác thực dữ liệu đầu vào. Dữ liệu bên ngoài được xác thực trước khi xử lý.
4. Cô lập ngữ cảnh người dùng. Dữ liệu bạn cung cấp cho trợ lý được xử lý như tài liệu tham khảo và không thể ghi đè các chỉ dẫn ở cấp hệ thống.
5. Token trong Keychain. Trên macOS, token của ứng dụng khách được mã hóa và nằm trong Keychain hệ thống, chứ không phải trong các tệp văn bản thuần.
6. Token WebSocket trong header. Token được truyền trong header Authorization, chứ không phải trong URL/query — nên nó không lọt vào nhật ký của máy chủ và proxy.
7. Quản lý phiên token. Một phiên bản token (token_version) làm vô hiệu hóa các token cũ khi đổi mật khẩu hoặc đăng xuất khỏi tất cả thiết bị; cookie refresh là httpOnly, có bảo vệ CSRF (double-submit).
8. Secrets trong .env. Các khóa và mật khẩu không được lưu trong mã nguồn.

Xóa dữ liệu và GDPR

1. Xóa phiên. Các phiên và lịch sử của chúng có thể được xóa trong bảng điều khiển web — việc này sẽ loại bỏ các bản ghi chép và câu trả lời liên quan.
2. Xóa ghi chú. Cơ sở kiến thức được giữ lại cho đến khi bạn xóa nó; việc xóa một ghi chú cũng loại bỏ nó khỏi chỉ mục RAG.
3. Không để lại dấu vết từ trước. Để giữ dữ liệu của một cuộc trò chuyện cụ thể hoàn toàn nằm ngoài kho lưu trữ, hãy chạy phiên ở chế độ không lưu nhật ký.
4. Xóa toàn bộ tài khoản và các yêu cầu về quyền của chủ thể dữ liệu được xử lý thông qua bộ phận hỗ trợ: hãy viết thư cho bộ phận hỗ trợ kèm yêu cầu xóa hoặc xuất dữ liệu của bạn.

Ảnh chụp màn hình

📸 [Ảnh chụp màn hình: nút bật chế độ không lưu nhật ký trong phần thiết lập phiên]

📸 [Ảnh chụp màn hình: lịch sử phiên trong bảng điều khiển với hành động "Xóa"]

📸 [Ảnh chụp màn hình: bảng overlay vắng mặt trong cửa sổ chia sẻ màn hình]

Những lỗi thường gặp

• Nghĩ rằng chế độ không lưu nhật ký giúp tiết kiệm số phút. Số phút vẫn được tiêu thụ như bình thường; chỉ có dữ liệu là không được lưu.
• Mong đợi một phiên thông thường sẽ không được lưu. Ngoài chế độ không lưu nhật ký, bản ghi chép và câu trả lời được lưu cho lịch sử và tìm kiếm.
• Cho rằng việc xóa một ghi chú vẫn để nó trong các gợi ý. Việc xóa nó loại bỏ ghi chú khỏi cả cơ sở kiến thức lẫn chỉ mục RAG.
• Tìm nút "xóa tài khoản" trong bảng điều khiển. Việc xóa toàn bộ tài khoản được xử lý thông qua bộ phận hỗ trợ.

Thực hành tốt nhất

• Đối với các cuộc trò chuyện nhạy cảm, hãy bật chế độ không lưu nhật ký từ trước — "xóa sau khi đã rồi" những gì đã được lưu khó hơn là không ghi nó ngay từ đầu.
• Thường xuyên dọn dẹp lịch sử của các phiên bạn không còn cần.
• Đừng đưa các secret (mật khẩu, token) vào ngữ cảnh người dùng và ghi chú — nó được gửi tới mô hình như một phần của prompt.
• Sử dụng mật khẩu mạnh và đăng xuất khỏi tất cả thiết bị nếu bạn nghi ngờ bị xâm phạm: việc này làm vô hiệu hóa các token đã cấp.
• Hãy nhớ rằng bảng overlay vô hình khi chia sẻ màn hình, nhưng âm thanh nghe được của người đối diện vẫn được nhận dạng — hãy lưu ý điều này trong các cuộc gọi nhóm.

Bài viết liên quan

• Bảng thuật ngữ các thực thể chính
• Gói đăng ký, gói dịch vụ và hạn mức
• Đăng ký và xác nhận email
• Whisperer là gì
• Các câu hỏi thường gặp (FAQ)