安全与合规

只做控制面,推理留在你自己的 Runtime。

Wisclaw 被设计为用户自有私有运行实例(双引擎:同步主路径 + 异步桥接引擎)的控制面。本页集中披露安全姿态、数据处理方式、能力边界与中国大陆的备案 / 登记情况。Wisclaw 为本网站产品品牌名,对应中文网站名称为"微偲掌航平台"。

控制面 / 执行面

Runtime 持有凭证;Wisclaw 云端不持有 token。

Prompt、推理、凭证与模型连接都在用户自有的 Runtime 上完成;Wisclaw 云端只承担账号、配对、通知推送与元信息中继。推理请求永不经过我们的服务器。

"私有实例" 的五个必要条件

  • 🖥️ 私有运行边界:Runtime 跑在用户自己的 Mac / Windows / Linux / 云主机
  • 🔑 私有凭证边界:API Key 始终落在 Runtime 本机密钥链,不上传 Wisclaw 云端
  • 📡 私有请求边界:推理请求由 Runtime 直接发给模型服务,云端不做兜底
  • 🌐 私有访问边界:优先 Tailscale Serve / SSH Tunnel / 局域网 + 一次性配对 token
  • 📝 私有产品表述边界:中国公众版前台不出现"接入任意大模型"、"填任意 API Key 立即开聊"

配对绑定的指令入口

只有当客户端已经与 Runtime 完成配对、且该 Runtime 在线时,发送入口才会启用;其他情况下界面保持只读。移动端不承载独立 AI 能力,仅作为用户自有 Runtime 的"遥控器"。

iOS 能力边界

任务控制语义,而不是远端桌面语义。

与 App Store 4.2.7 与中国大陆分发规则一致:Wisclaw iOS 只暴露任务、审批、时间线与产物查看,不做实时远端桌面投屏、不把手势传递到远端浏览器、不做云 thin-client。

绿区 / 允许

审批、任务下发、时间线、产物查看、告警推送、已配对 Runtime 的指令发送

红区 / 禁止

实时远端桌面投屏、手势映射到远端浏览器、iOS 端持有 token、未配对时提供 Composer

黄区 / 谨慎

高频刷新截图、可交互的网页快照、类直播式执行预览(优先替换为步骤摘要)

扩展中心

已配对 Runtime 的扩展管理,而不是面向公众的 AI 技能市场。

设计上与 App Store 2.5.2 / 4.7 / 3.2.2(i) 等条款兼容,并刻意避免在中国公众版做成生成式 AI 技能市场。

  • 扩展目录仅在已配对 Runtime 的上下文中可见;未配对时显示"配对后可管理主机扩展"
  • 所有扩展「安装到我的 Runtime」,不是「在手机 App 中启用」
  • 安装前展示运行位置、访问能力、是否需要模型、模型由谁提供
  • 公众版默认仅展示非通用生成类官方扩展(文件导出、通知转发、任务计划、环境检查、日志采集等)
  • 私有 / 企业版可开放自定义 skill 源、Git / ZIP 导入、社区 skill 仓等高级能力

备案与登记公示

当前真实状态与预留公示位。

每一项要么显示真实编号,要么明确为"备案在途",要么明确为"本产品形态不涉及",不留模糊占位。

ICP 主体备案

沪ICP备2026017250号

公安联网备案

准备中 · 备案在途

与 ICP 配套办理;编号下发后会即时显示在此处与页脚。

算法推荐备案

本产品形态不涉及

当前 Wisclaw 不向公众提供具有舆论属性或社会动员能力的算法推荐服务,故无需办理本项备案。

深度合成备案

本产品形态不涉及

当前 Wisclaw 不直接向公众提供深度合成类服务,故无需办理本项备案。

生成式 AI 服务登记

本产品形态不涉及

当前 Wisclaw 不向公众直接提供生成式 AI 推理服务;Prompt 与生成均在用户自有 Runtime 上完成。

模型公示

实际对中国公众提供的模型 —— 若有。

当前 Wisclaw 不向境内公众直接提供生成式 AI 推理服务;所有 prompt/生成均在用户自有 runtime 侧执行。若未来上线直接调用已备案模型能力的公开功能,将在此处与产品前端显著位置公示模型名称、备案号及生成内容标识方案。

当前 Wisclaw 未以自己名义向中国公众直接提供模型服务。模型 Provider 由用户在自己的 Runtime 上配置,Prompt 与推理均发生在用户侧。

安全框架

每一层都有全面的安全措施。

🌐 数据与区域

数据与区域

Wisclaw 控制面数据默认存放在与用户所在区域一致的机房;私有化部署时,数据可完全留在客户自有基础设施。跨境传输遵循《个人信息出境标准合同》等相关要求。

🔐 传输与凭证

传输与凭证

所有控制面外部接口启用 TLS 1.3;用户 Token 使用 Runtime 公钥做 sealed-box 加密,Wisclaw 云端只转发密文,不落盘保存 token。

🔑 访问控制与配对

访问控制与配对

登录采用自有账号体系(邮箱 / 手机验证码),配合配对授权与所有者在 Runtime 本机确认,下发指令前校验"已配对 + Runtime 在线"。支持四级角色权限、组织邀请与企业 SSO。

📋 审计与追溯

审计与追溯

任务、审批、配对、扩展安装、模型 allowlist 变更均进入审计日志,支持查询、导出和长期归档,服务于企业内部合规与外部监管。

🔍 安全开发实践

安全开发实践

遵循安全开发生命周期(SDL)、双人审核、依赖安全扫描、定期渗透测试;发现漏洞通过 security@wisclaw.cc 报送并在 24 小时内响应。

合规认证规划

合规认证规划

正在推进相关合规认证(含 ISO 27001 信息安全管理体系规划等)。企业采购可索取最新合规与 SDL 报告。

数据处理

我们如何处理不同类型的数据。

数据处理的透明性是信任的基础。以下是 Wisclaw 生态系统中各类数据的处理方式。

控制指令

传输全程 TLS 1.3;指令在 Wisclaw 服务端不落明文,只做转发

用户账号信息

加密存储,严格的角色权限隔离,支持用户自主删除

操作与审计日志

加密存储,可配置保留期,支持导出和归档

Runtime 运行数据

仅在用户自己的 Runtime 侧处理,不镜像到 Wisclaw 云端

模型推理 token / API Key

由 Runtime 本机保管(Keychain / DPAPI / SecretService);Wisclaw 云端不持有、不代发推理请求

支付信息

由第三方支付平台处理,我们不存储支付凭据

数据主体请求(DSR)

依据《个人信息保护法》第 47 条与 GDPR 第 15-21 条享有的权利。

你可以随时行使下列权利。我们在法定时限内响应(PIPL:及时;GDPR:30 天内,复杂情形可延长一次共 60 天)。

访问

获取我们持有的、与你身份关联的个人信息副本

更正

更新或纠正不准确、不完整的信息

删除

在你不再需要服务或撤回同意时申请删除

导出

以结构化、常用、机器可读的形式导出(数据可携带权)

撤回同意

随时撤回基于同意的处理活动

反对自动化决策

若 Wisclaw 上线影响你的自动化决策能力,可申请人工复核

如何提交请求

推荐方式:在控制面进入"账户 → 隐私",使用"导出我的数据"或"删除我的账号"功能。也可发邮件到 privacy@wisclaw.cc(请使用 Wisclaw 账号绑定的邮箱),我们可能在受理前进行身份核验。

企业客户

需要详细的安全评估?

我们为企业客户提供详细的安全文档、合规报告和专属安全评审。联系我们的团队讨论你的具体需求。

联系安全团队

报告漏洞

发现安全问题?

我们认真对待每一份安全报告。请发送邮件到 security@wisclaw.cc;我们承诺在 24 小时内响应,并与你共同快速解决问题。

法律文件

查阅我们的法律文件。