Privacy

你的 prompt 和凭据，
永远不离开你的电脑。

Claw Companion 是 local-first, cloud-sync 架构 —— 本地 SQLite 是唯一真源，云端 Postgres 只是异步镜像。 断网完全不影响本机功能。本页把具体数据边界写清楚。

一、永远不上传的内容

• 载体配置原文：WorkBuddy / QClaw 的任何配置文件内容
• prompt 全文：你在 Tailor 对话里的原始输入、LLM 生成的中间提示
• LLM 完整返回：模型的原始回复
• 本地备份文件：每次自愈前自动生成的配置快照
• 凭据：API Key、Token、密码、OAuth secrets ——任何形态

二、同步到云端的内容

仅限以下几项，且全部经过脱敏：

• 脱敏后的任务元数据：任务 ID、状态、创建时间、所有权类型
• FinalPlan 骨架：载体无关的中性计划结构（不含 prompt 全文）
• 运行事件：成功/失败次数、时长、错误分类（非原文）
• 账号信息：邮箱 + argon2id 加密后的密码哈希

三、本地数据保护

• 本地备份强制加密：AES-256-GCM
• 密钥由系统安全存储托管：Windows DPAPI / macOS Keychain
• 加密前先做凭据脱敏：备份文件即使被拿走也读不出 API Key

四、你的控制权

• 一键关闭云端同步：设置 → 云端同步 → 关闭。关闭后 App 完全本地运行。
• 一键清空云端数据：设置 → 云端数据 → 清空。本地数据不受影响。
• 一键导出：所有本地数据可导出为单一加密档案，方便换机或备份。
• 注销即删除：注销账号后云端数据 30 天内物理删除。

五、Monitor 模式说明

v1.0 Monitor 默认开启 —— 这是配合"被动展示模式"的设计： 对你自己建的（user_owned）任务，它只读取载体的运行日志， 不做规则匹配、不做问题识别、不做主动建议、不主动通知。

首次启动会明示这点，且可在设置里一键关闭。

六、v1.0 合规状态

v1.0 仅面向内测，范围小。 个保法告知、ICP 备案、数据本地化等完整合规工作在 v1.x 补齐。 这是我们对规模扩大前的明确自律边界 —— 不会在合规缺位的情况下盲目拉新。

七、联系与申诉

任何隐私相关问题、数据删除请求、告警反馈： cfj521@gmail.com。 内测期间 72 小时内回复。

本页为简版。完整技术细节见产品内《首次启动告知书》与项目仓库 docs/Claw_Companion_隐私告知书_v1.md。