ToShop文档账户
隐私与数据
什么留在你电脑上、什么发给供应商、ToShop 存什么。
ToShop 本地优先。Agent 跑在你硬件上的 ToShop 桌面应用里;聊天和 Memory 留在你电脑上;工具调用本地发生。这一页诚实地标出每一个离开你电脑的字节。
三层数据
留在你电脑上的
- 聊天记录 —— 本地应用数据目录。
- Memories —— 在你的电脑上落盘加密。
- Rules —— 本地文件。
- 工具调用审计日志 —— 存在你电脑的本地数据库里。
- Skill 与扩展配置 —— 本地文件。
- 你自己提供的第三方凭证(例如 Telegram bot token、你店铺的 Shopify API token、搜索供应商 key)—— 进 macOS 钥匙串。
这些都不自动发到 ToShop 服务器。本地优先是设计原则。
发到 AI 模型的
Agent 跑任务时:
- Prompt 与被选入的上下文(部分对话、相关 Memory 卡片)→ AI 模型。
- ToShop 根据你的套餐和任务类型把调用路由到合适的模型 —— 见模型。
- 对应 AI 模型的隐私政策生效。我们使用 Anthropic、OpenAI、Google 等顶级供应商的商业版套餐,明确禁止用你的输入做训练。
ToShop 在调用链路上做了什么
ToShop 边缘层把调用路由到正确模型并按套餐计量。Prompt 和响应经过 —— 不存、不读。
ToShop 服务器存的
仅限账户级功能所需:
- 账户身份 —— 你的邮箱和登录方式(Google OAuth 或邮箱 + 密码)。
- 订阅状态 —— 你的套餐和通过 Stripe 的计费关系。
- 连接注册元数据 —— 把 Telegram / Discord 进站消息路由到你那个安装实例所需的最小信息。消息内容转发不存储。
- 团队成员关系 —— 团队工作区。
- 崩溃报告 —— 你选择开启时。
对话、Prompt、模型回答、文件内容、截图、OCR 输出 —— 不存在 ToShop 服务器上。
跨设备同步什么
在第二台设备登录 ToShop 时,以下会同步:
账户身份
登录、订阅状态。
Agent 定义
名字、模型选择、技能清单、Rules。
连接绑定
Telegram Bot 仍路由到对的 Agent。
不自动同步的:聊天记录、Memories、审计日志。这些留在创建它的设备上。可选同步在 Roadmap 上。
遥测
默认情况下,ToShop 发送崩溃报告和最小使用事件(哪些功能被用,不含内容)用于产品改进。可在 设置 → 隐私 关闭。
数据留存
合规
对于云端面(仅账户 + 计费)适用的 SOC 2 / GDPR 细节,见隐私政策。
参见
- 权限 —— 动手前 Agent 受什么管制。