数据与隐私
AgentHub 会连接本地文件、runtime 输出、团队审查和产品身份。本页说明数据应该归谁、公开文档能写到哪里、哪些内容必须留在本地、服务端或私有运维文档中。
边界
公开官网只是文档和产品包装。它不是 Hub API,不是模型网关,也不是本地文件或团队项目的授权边界。
数据分类
| 数据 | 归属 | 公开处理 |
|---|---|---|
| TokenDance ID profile | TokenDance ID 与使用它的产品会话 | 公开文档可以说明 subject、email、display name 等 claim,不发布用户记录或 token |
| Hub session | Hub Server | 公开文档只描述会话边界;token、cookie、签名密钥留在服务端 |
| Workspace path | Local Edge / 授权的 Edge 目标 | 公开截图必须脱敏私有绝对路径和用户名 |
| 文件内容 | Edge 目标与明确的用户审查流程 | 不把私有文件内容复制到 docs、issue、卡片或截图 |
| Runtime transcript | Edge 事件;经 Hub 路由时进入 Hub 审计 | 公开示例使用合成 prompt 和脱敏输出 |
| Diff 和产物 | Edge 事件流、Desktop/Web 审查界面 | 公开文档可以展示 mock diff;真实 diff 需要 owner 审批和脱敏 |
| 模型 provider 凭据 | 本地环境或服务端密钥存储 | 不能写进前端 bundle、docs、截图、卡片、日志或 issue 模板 |
| 飞书/Lark actor context | 集成网关与 TokenDance ID 绑定 | 公开文档说明 tenant/user 映射,不展示原始 callback 负载 |
本地执行边界
Desktop 和 Local Edge 是 local-first。一次本地运行可能读取文件、启动 runtime CLI、流式输出日志并产生 diff。这些动作必须限制在白名单工作区和明确的审批策略内。
官网 mock 可以展示任务形态,但不能暗示浏览器页面可以读取任意本地文件或启动本地 CLI。Web 工作台动作应通过 Hub 授权和被授权的 Edge 目标。
公开截图规则
发布截图前:
- 把真实仓库路径替换成
workspace/app这类短 placeholder。 - 使用合成 prompt 和 mock 文件名。
- 避免展示 provider 仪表盘、账号邮箱、原始请求负载、access token、API key 或内部主机名。
- 公开页面优先使用生成的 Desktop mock 状态。
- 失败态可以保留,但必须移除私有日志和用户数据。
Event 和日志策略
AgentHub 事件应该能帮助排障,但不泄漏密钥。事件负载优先使用稳定 ID、相对路径、运行状态、status code、error code 和脱敏摘要。
避免记录:
- 完整
Authorizationheader、provider key、OAuth code、refresh token 或 client secret。 - 能用相对工作区路径表达时仍记录绝对用户目录。
- 公开日志里的完整 prompt 或文件内容。
- 原始飞书/Lark 加密负载、verification token、tenant token 或卡片操作密钥。
留存方向
数据留存属于产品本地策略,仍在成型。稳定留存政策发布前,公开文档应使用保守口径:
| Surface | 当前公开口径 |
|---|---|
| Desktop local run | 本地预览状态和产物由用户控制,应按本地开发数据处理 |
| Hub-backed task | Hub 可以按产品策略保存会话、任务、事件、审计记录和审查状态 |
| Web workbench | Web 渲染 Hub 授权状态,不直接持久化本地文件 |
| 飞书/Lark entry | IM 负载应包含紧凑任务 ID 和安全摘要,不携带完整任务上下文 |
| Remote/Cloud Edge | 开发中;暂不承诺稳定留存、合规或企业策略 |
访问控制原则
- 身份认证来自 TokenDance ID。
- 产品授权由 AgentHub Hub Server 负责。
- 本地文件访问由 Edge 策略和用户审批负责。
- 模型 API 凭据属于本地 runtime 配置或服务端密钥存储。
- TokenDance API key 不是 TokenDance ID 会话。
- 官网个性化是低风险状态,不能授权 Hub API。
面向用户的文案规则
使用精确说法:
- 写“Local Edge 可以访问白名单内的本地工作区”,不要写“网站读取你的文件”。
- 写“Hub-backed Web 通过 Hub 和授权 Edge 目标路由”,不要写“Web 运行本地 CLI”。
- 写“runtime 输出可能包含敏感项目上下文”,不要把会话记录当成无害聊天。
- Remote/Cloud Edge 的隐私承诺在实现和政策证据齐备前写“开发中”。
Review Checklist
合并涉及数据的 docs、UI 或 integration 改动前:
- 页面说明了数据归属组件。
- 公开示例使用占位符和合成内容。
- 截图没有暴露私有路径、用户、token 或真实客户数据。
- 事件示例已经脱敏。
- 文案区分 TokenDance ID 登录、AgentHub 产品会话和 TokenDance API key。
- 能力未稳定时,页面写“开发中”或“可预览”,不写合规承诺。