1. 我们处理哪些信息
当你主动点击“AI 生成回复”时,插件会从当前 X 页面提取并提交以下信息:
- 当前回复目标的作者名称、账号、帖子文字和帖子链接;
- 可选的可见对话上下文,最多三条;
- 回复框中已有的文字草稿及当前页面地址;
- 你配置的语言、最大字数、是否包含上下文和个人表达偏好。
在独立发帖输入框点击“AI 生成帖子”时,后端会通过 OpenAI Web Search 检索近期公开 AI 新闻与信息,并将来源链接返回插件展示。
为验证访问权限,后端还会处理你的访问 Token 和公网 IP 地址。
2. 信息的使用目的
这些信息仅用于识别回复对象、验证用户权限、生成回复候选、保障接口安全、排查服务故障以及统计用户的 AI 使用次数。
XLeave 不会出售个人信息,不会使用上述内容投放广告,也不会替你自动发布或发送回复。
3. 信息如何存储
浏览器本地访问 Token 保存在 Chrome 本地存储中;后端地址、语言、字数和表达偏好保存在 Chrome 同步存储中,并可能随你的 Chrome 账号同步。
Neon 数据库保存用户 ID、Token 哈希和尾号提示、IP 白名单、启用状态、累计使用次数、最后使用时间及管理时间戳。
回复内容帖子正文、文字草稿和生成的回复候选不会写入 XLeave 的 Neon 用户数据库。
运行日志服务日志可能包含公网 IP、用户 ID、请求错误和安全拦截信息。Vercel 等托管服务可能按其政策保存运行日志。
4. 第三方服务处理
为了提供服务,XLeave 会使用以下第三方基础设施:
- OpenAI:接收生成回复所需的文字和偏好。请求设置为
store: false,具体处理仍受 OpenAI API 数据政策约束。 - Vercel:托管后端服务,并可能处理请求 IP、网络元数据和运行日志。
- Neon:托管用户鉴权和使用统计数据库。
- Google Chrome:通过扩展存储机制保存插件设置;同步设置受 Chrome 同步服务控制。
你在 X 网站上的浏览和发送行为还受 X 自身的隐私政策约束。
5. 安全措施
- 接口使用用户 Token 和公网 IP 白名单双重验证;
- Token 在 Neon 中仅保存 SHA-256 哈希,明文只在创建或轮换时显示;
- OpenAI 请求明确关闭模型响应存储;
- 插件不会把 OpenAI API Key 或管理员密钥放入前端代码。
任何互联网服务都无法保证绝对安全。请勿在公开截图或问题反馈中粘贴 Token、API Key 或管理员密钥。
6. 你的选择与数据管理
- 你可以关闭“包含上下文”,减少发送给后端的对话内容;
- 你可以清空个人表达偏好和 Token,或直接卸载插件;
- 如需停用账号、轮换 Token、修改 IP 或删除 Neon 用户记录,请联系管理员;
- 如需报告隐私或安全问题,请通过 GitHub Issues 联系我们,并避免提交任何密钥。
7. 政策更新
功能、数据处理方式或第三方服务发生变化时,我们可能更新本政策。更新后的版本会发布在本页面,并修改生效日期。