ToShop文档账户
隐私与数据
什么留在你电脑上、什么发给供应商、ToShop 存什么。
ToShop 本地优先。Agent 跑在你硬件上的 ToShop 桌面应用里;模型 Key 留在系统钥匙串;工具调用本地发生。这一页诚实地标出每一个离开你电脑的字节。
三层数据
留在你电脑上的
- 聊天记录 —— 本地应用数据目录。
- Memories —— 本地落盘加密。
- Rules —— 本地文件。
- 模型 API Key —— macOS 钥匙串。
- 工具调用审计日志 —— 本地 SQLite。
- Skill 与 MCP 配置 —— 本地文件。
这些都不自动发到 ToShop 服务器。本地优先是设计原则。
发到 AI 模型的
Agent 调用模型时:
- Prompt 与被选入的上下文(部分对话、相关 Memory 卡片)→ AI 模型。
- API Key 鉴权这一次调用。
- 该 AI 模型的隐私政策生效 —— 请看相应条款。
ToShop 不在模型调用的链路上
我们不代理模型调用。调用从你机器直接发到 AI 模型的官方 API(TLS)。
ToShop 服务器存的
仅限账户级功能所需:
- 账户身份 —— 你的邮箱和选用的登录方式(Google / GitHub / Apple)。
- 订阅状态 —— 你的套餐和通过 Stripe 的计费关系。
- 渠道注册元数据 —— 把 Telegram / Discord 进站消息路由到你那个安装实例所需的最小信息。消息内容转发不存储。
- 团队成员关系 —— 团队工作区。
- 崩溃报告 —— 你选择开启时。
对话、Prompt、模型回答、文件内容、截图、OCR 输出 —— 不存在 ToShop 服务器上。
跨设备同步什么
在第二台设备登录 ToShop 时,以下会同步:
账户身份
登录、订阅状态。
Agent 定义
名字、模型选择、技能清单、Rules。
渠道绑定
Telegram Bot 仍路由到对的 Agent。
不自动同步的:聊天记录、Memories、审计日志。这些留在创建它的设备上。可选同步在 Roadmap 上;Memory 云同步在 Pro+ 提供。
遥测
默认情况下,ToShop 发送崩溃报告和最小使用事件(哪些功能被用,不含内容)用于产品改进。可在 设置 → 隐私 关闭。
数据留存
合规
对于云端面(仅账户 + 计费)适用的 SOC 2 / GDPR 细节,见隐私政策。
参见
- 权限 —— 动手前 Agent 受什么管制。