我们非常重视安全问题。如果您发现了安全漏洞或潜在的安全风险,请负责任地报告:
请勿在 GitHub Issues 或公开渠道报告安全漏洞。这可能会让用户暴露在风险中。
- 通过电子邮件发送安全报告
- 或使用 GitHub 的 Private vulnerability reporting 功能
请包含以下信息:
- 安全漏洞的类型和描述
- 复现步骤
- 可能的受影响版本
- 任何可能的修复建议(可选)
- 我们会在 48 小时内 确认收到报告
- 我们会制定修复计划并告知您
- 修复后,我们会公开致谢(如果您愿意)
本应用采用 Bring Your Own Key (BYOK) 模式:
- 用户的 API Key 存储在本地设备
- 不会上传到第三方服务器(除非用户主动配置)
- 凭证存储在 macOS Keychain 中
- 语音数据:仅在用户录音时处理,不会上传到任何服务器
- 转录文本:本地处理,不上传
- 使用统计:暂无远程遥测
本应用依赖以下第三方服务(用户自行配置):
| 服务 | 数据处理 | 隐私政策 |
|---|---|---|
| 阿里云 FunASR | 语音数据上传处理 | 阿里云隐私政策 |
| 阿里云 Qwen | 文本数据上传处理 | 阿里云隐私政策 |
| Supabase | 用户账户数据(可选) | Supabase 隐私政策 |
- 切勿将真实 API Key 提交到代码仓库
- 使用
Secrets.plist存储本地凭证(已加入 .gitignore) - 使用
Secrets.example.plist作为模板 - 生产环境定期轮换 API Key
- 定期检查您的阿里云/Supabase 使用量
- 不要在不信任的设备上配置 API Key
- 如发现异常使用,立即撤销并重新生成 API Key
我们仅为最新版本提供安全更新。请确保您使用的是最新版本。
感谢以下安全研究人员:
-(暂无)
如果您发现了安全漏洞并报告给我们,我们将公开致谢(除非您希望匿名)。