SECURITY WHITEPAPER
安全白皮书
我们相信,真正的安全不靠承诺,靠架构。本文档完整说明牛马AI的数据处理方式, 供您审查与验证。
最后更新:2026 年 2 月
三句话总结
我们不存您的数据。所有对话、文件、配置全部保存在您的本地设备上,我们的服务器不存储任何用户内容。
AI 对话直接发给您选的模型厂商。我们只做加密传输中转,不记录、不分析、不二次使用您的对话内容。
不信?您可以自己验证。我们提供完整的验证方法,您可以随时抓包检查网络请求,确认没有任何数据被偷传。
本地优先架构
牛马AI采用 Local-First 架构设计。这意味着您的所有数据——对话记录、上传的文件、 应用配置、模型偏好——全部存储在您的本地设备上。我们的服务器不参与数据存储, 也不具备访问您本地数据的能力。
对话记录保存在本地数据库,不上传至任何云端
上传的文件仅在本地处理和解析,处理完成后原始文件保留在原位
应用配置与用户偏好存储在本地配置文件中
卸载应用即可彻底清除所有数据,无需联系我们"注销账号"
AI 消息中转机制
当您使用云端 AI 模型(如 OpenAI GPT、Google Gemini、Kimi、Minimax 等)时, 您的对话内容需要发送到对应的模型厂商进行处理。我们在这个过程中的角色是透明的加密中转:
消息通过 HTTPS 加密传输,全程 TLS 保护
中转过程零日志——我们不记录、不缓存、不存储任何对话内容
不对消息内容做任何分析、标注或二次处理
不将您的数据用于模型训练或任何其他商业用途
自带 API Key 模式
您可以在设置中填入自己的 API Key,直接与模型厂商建立连接。在这种模式下, 消息不经过我们的服务器中转,数据路径缩短为:您的设备 → 模型厂商 API。 这是最高安全等级的使用方式。
完全离线模式
对于对数据安全有极致要求的场景(如法律文书、医疗记录、财务数据), 牛马AI支持接入本地模型,实现物理级别的隐私保护:
支持 Ollama、LM Studio 等本地模型服务
物理断网环境下仍可正常使用全部功能
数据从生成到处理到存储,全程不离开您的设备
即使是最严格的企业安全审计,也可以放心通过
我们收集什么
透明是信任的基础。以下是我们收集和不收集的完整清单:
我们收集
- -匿名应用启动次数
- -功能使用频率统计(匿名)
- -崩溃报告(不含对话内容)
- -操作系统与应用版本号
- -IP 地址与粗略地理位置(城市级别)
- -您选择公开共享的牛马
我们不收集
- -任何对话内容和聊天记录
- -上传的文件和文档内容
- -用户的 API Key 和密钥
- -个人身份信息(姓名、邮箱等)
- -浏览行为和使用习惯明细
自行验证
我们鼓励每一位用户亲自验证我们的安全承诺。以下是您可以使用的验证方式:
网络抓包验证
使用 Charles、Wireshark、mitmproxy 等网络分析工具监控牛马AI的所有网络请求, 确认仅有发往您所选 AI 模型厂商的 API 请求,没有任何数据发送到我们或第三方的服务器。
本地数据审查
所有数据存储在本地可访问的目录中,您可以随时浏览、导出或删除这些文件。 我们不使用任何隐藏目录或加密容器来存放用户数据——一切透明可见。
断网测试
关闭网络连接,接入本地模型,验证牛马AI在完全离线环境下的完整功能。 如果数据需要"回传",断网时功能必然受限——而我们的应用在断网状态下依然完整运行。
与传统云端 AI 的区别
| 牛马AI | 传统云端 AI | |
|---|---|---|
| 对话存储位置 | 本地设备 | 云端服务器 |
| 是否用于训练 | 否 | 可能 |
| 断网可用 | 支持(本地模型) | 不支持 |
| 数据删除 | 本地删除即生效 | 需申请,无法确认 |
| 第三方共享 | 不共享 | 可能与合作方共享 |
| 审计验证 | 用户可自行抓包验证 | 依赖平台承诺 |