隐私即设计:你的秘密为什么留在你这里
当你把最深的恐惧讲给一个 AI 听,你交出的是内心世界里最私密的那一部分。让很多人迟疑的,往往不是技术,而是一个很朴素的问题:这些话,会去到哪里。所以在别的之前,先说清楚:它们会去哪里,又不会去哪里。
隐私是地基,不是功能
给一个做好的产品贴上一个挂锁图标、然后宣称「安全」,是很容易的。我们不想那样。你在树洞里写下的,是最私密的一类文字,所以保护必须从第一行就是设计的一部分 —— 而不是最后才补钉上去的东西。
很多 AI 应用会把你的话发往第三方云去处理和存储 —— 那是连应用自己的开发者也无法完全掌控的基础设施。树洞走的是另一条路:背后的大语言模型由我们自己的服务器独立运营,不交给别人的云,所以你的话留在一个我们从头到尾负责的空间里。
一套以信任为底的架构
- 静态加密(保险库)。 每一段对话和日记都用 AES-256-GCM 静态加密封存,且各自有独立的密钥。即便硬盘被偷、数据库被复制,没有那把密钥,内容也读不出来。
- 按账户隔离(独立的房间)。 你的对话和日记在数据层就彼此隔开。你的话生活在自己的空间里,别人的任何检索或请求都伸不进来。
- 只在必要的时间里保留。 原始记录是短暂的,日记才是长久的。树洞只把逐字记录保留到它被写成日记为止,随后清除(30 天内)。真正留下的是那份有意义的记忆,其余的让它淡去。
- 随时可删。 它是你的。删除账户,你的日记、检索索引、聊天记录都随之永久消失 —— 不会留下任何「幽灵副本」。
对边界诚实
这是大多数产品略过不谈的部分。因为树洞跑在自己的服务器上、而不是第三方云,我们掌控着整个环境 —— 但这也意味着,运行中的程序握着密钥,技术上能够解密你的内容来完成它的工作。
我们不会假装不是这样。我们不会对你说「任何人都看不到」,因为那不是事实。我们能告诉你的,是我们实际会怎么做:我们不主动翻看、不出售、不分享。 这条诚实的边界,被清楚地写进了我们的用户协议与隐私政策;而把运营者本身也移出这个信任边界,是我们正在努力的方向。
一个你能够验证的承诺,比一个听起来完美的承诺更值钱。
简单说
你带进这类工具里的隐私,是最珍贵的东西。树洞被这样设计:当你对着树洞开口,你说进去的是一个会加密你的话、把它与所有人隔开、只保留对你有帮助的部分、并且对其余的事对你诚实的空间。
