我们为何构建 TeeChat — AI 时代的隐私

每周都有新头条:用爬取消息训练的聊天机器人、「贴心」助手记住了你本不想分享的内容、持有多年提示词的供应商遭泄露。AI 之所以有用,正因为它能学习上下文 — 而当你的数据被存储、复制并流经你从未选择的系统时,同一特性也会带来风险。

我们启动 TeeChat,是因为我们相信 AI 对话的默认姿态应是「把一切发到云端并祈祷最好」的反面。你的 AI,你的文件夹,你说了算。 — 会话保存在您控制的目录;使用我们的托管 AI 是可选的、线路上加密,且不是永久的云端档案。

真实场景:为什么这件事要紧

抽象的隐私讨论容易被忽略。下面是人们日常使用 AI 的普通时刻 — 我们认为对话存在哪里模型运行时谁能读到真实文字,不应该是事后才考虑的问题。

律师起草客户备忘录。 你粘贴一份带修订的保密协议,请 AI 用通俗语言说明风险,并写出对方名称。这不是在做什么见不得人的事 — 这是受职业保密义务约束的计费工作。通用聊天应用可能把整段线程在他人服务器上保存多年。TeeChat 把历史留在你的文件夹;若使用托管 AI,提示以加密形式发往可核验的安全服务器,而不是成为厂商训练池的素材。

生物研究员的周日晚。 你请 AI 帮忙梳理论证逻辑、对比两篇文献,或在周一站会前检查 IND 提纲。内容尚未公开 — 这是管线层面的思考。你不应在「聪明模型」与「把思考丢进通用云端聊天记录」之间二选一。

创始人演练投资人对话。 你排练异议回应、打磨定位,并提到 runway、cap table 和可能的收购方。这些都不该绑在个人邮箱下的永久 SaaS 档案里。你需要的是把线程当作自己的笔记本的助手,而不是他人的产品分析数据。

求职中的员工。 你改写带真实雇主名称的简历、练习薪资谈判,或询问本州竞业条款是否可执行。即使你从未输入全名,也高度可识别。一条长对话往往足以还原你是谁。

为孩子担心的家长。 你描述孩子的症状、药物相互作用,或正在考虑的心理咨询师。这不是悬疑片 — 这是家庭生活。这些提示值得像密封信函一样对待,而不是支持工程师日志里的一行记录。

这些不是边缘案例。它们是我们构建 TeeChat 的原因:数据主权 — 需要在本机掌控时用本地优先的历史;需要强模型时用可验证的加密托管推理,而不必把档案交给我们。

问题不在于多疑 — 而在于激励

当服务能看到你的可读原文时,它可以:

这不需要恶意。正常产品压力 — 更好的模型、更便宜的 AI、更快的调试 — 会推动团队收集更多数据,而非更少。隐私政策往往滞后于工程师在生产数据库中实际能访问的内容。

若 AI 落入恶手且对你了解太深

设想攻击者 — 或被盗用的运营账号 — 能读取未加密的聊天历史:

他们得知可能后果
雇主、项目与截止日期能通过「老板会发这种邮件吗?」测试的定向钓鱼
医疗或心理健康相关问题敲诈、保险歧视、职场偏见
随口提到的凭证账户接管链
家人姓名、学校、旅行计划现实骚扰或踩点盗窃
政治与宗教观点胁迫、人肉、国家压力

大模型会放大推断:不仅存储你输入的内容,还能推导你未写明的信息。一条长线程往往足以重建身份,即使你从未输入全名。

机密性并非为掩盖违法行为,而是让日常生活保持日常 — 治疗、求职、法律咨询、育儿、创作 — 而不把每次对话变成他人可永久检索的资产。

为何「相信我们」不够

许多产品承诺传输中加密(HTTPS)与磁盘上加密。这保护链路与磁盘上的字节 — 不能防范在数据中心内为路由、计费、安全过滤或运行模型而解密的管理员。

对 AI 对话而言,敏感时刻是模型读取你的提示时。在常见托管架构里,提示能否保持私密,取决于谁可以访问生产系统 — 而非仅靠 HTTPS 或磁盘加密。

我们想要的架构是:

  1. 应用在提示离开设备前加密
  2. 路由服务器只转发密封包 — 不应为履行职责而需要可读原文。
  3. 只有可核验的推理引擎在受控的安全环境里为模型解密。

这是 TeeChat 的目标。产品为专有;OPE 协议与推理引擎开源,便于专家审计加密路径而不只听我们陈述。

我们的优化方向

本博客后续文章

我们将分篇发布实践指南:

  1. 如何验证机密性 — 核验步骤、路由服务器做什么、端到端流程。
  2. 如何审阅我们的开源栈 — OPE 与推理引擎。
  3. 高级网络审计 — Wireshark、mitmproxy 与链路上应(与不应)看到的内容。

若你为自己或组织评估 TeeChat,请先问:模型运行时谁能读我的提示? 若答案是「任何有生产访问权的人」,你得到的不是隐私 — 是一份政策 PDF。

AI 时代值得更好。这就是我们这么做的原因。

修订记录

  1. HTTPS/磁盘加密一节:「不能保护」改为「不能防范」。
  2. L2 话术:托管,但不交出对话记录。

← 全部文章