深色模式
隐私政策
Reeve 的运行原则只有一句:所有数据都在你的电脑上。
本政策说明 Reeve 在使用过程中会和不会接触哪些数据。
不离开本机的数据
下列数据完整保存在你的本机,Reeve 不上传、不缓存到任何远端服务器:
| 数据 | 存储位置 |
|---|---|
| 服务器列表(别名 / 主机 / 端口 / 用户名 / 标签 / 分组) | <app data>/com.agilefr.reeve/reeve.db,加密 |
| SSH 凭据(密码 / 私钥 / passphrase) | 同上,AES-256-GCM 加密 |
| 服务凭据(AI 装好的 1Panel / MySQL 等账号) | 同上 |
| 敏感库条目(出口脱敏自动捕获的明文) | 同上 |
| 审计日志(每次 AI 操作 / 审批 / 拦截) | <app data>/.../reeve.db 和 <project>/.reeve/audit.db |
| 自定义脱敏规则 | <app data>/.../redaction.yaml |
| 自定义危险黑名单 | <app data>/.../policy.json |
| 项目空间数据(CLAUDE.md / Runbook / 经验库 / 聊天历史) | <打开的目录>/.reeve/ 和 .claude/ |
| MCP Token Hash | <app data>/.../reeve.db(明文只在创建时返回一次) |
| 主密码 KEK | 绝不存盘;每次解锁时由 Argon2id 派生,进内存使用,锁屏即清 |
| 应用配置 / 主题 / 终端设置 | OS 标准位置 |
详细路径见 安装指南 — 数据目录。
会与远端通信的场景
Reeve 不会主动联系任何远端服务,仅在你触发以下行为时建立网络连接:
| 场景 | 远端 | 传输的数据 |
|---|---|---|
| 你添加的 SSH / DB / Redis 主机 | 你配置的服务器 | 仅 SSH / 数据库协议本身(你自己的数据) |
| 你启用了内置 AI 桥接对话 | 你配置的 LLM API(Anthropic / OpenAI 兼容等) | 你的对话内容(请见下节"LLM 提供商") |
| 自动更新检查 | 配置的更新源(默认 R2 CDN / Gitee) | 当前版本号;不带任何账号 / 凭据标识 |
| 文档站点(你访问 docs.xxx 时) | 文档 CDN | 不涉及 Reeve 客户端 |
| License 激活 / 验证 | FLM 后端 | 激活码 + 设备指纹(MAC 哈希 / OS 信息哈希) |
| MCP 客户端(如 Claude Code)连接 Reeve | 本机环回 127.0.0.1 | 不出本机 |
关于 LLM 提供商
如果你启用了 内置 AI 桥接 或外置 AI 客户端通过 MCP 用 Reeve 工具,你的对话会发送给你选定的 LLM 提供商:
- Anthropic 官方:受 Anthropic 隐私政策约束
- OpenAI 官方:受 OpenAI 隐私政策约束
- OpenAI 兼容服务(DeepSeek / Kimi / 智谱 / Groq / 自定义):受各自隐私政策约束
Reeve 在这条链路上做了什么:
- 工具调用结果在出 Reeve 之前强制走出口脱敏规则(凭据 / Token / 私钥被替换为
[REDACTED:xxx]) - MCP 工具的 schema 里不含任何凭据字段,AI 只能传服务器别名
- 你的 LLM API Key 加密存在 OS keyring,不会通过 MCP 协议泄漏给外部 AI 客户端
详见 出口脱敏。
关于 License 激活
激活流程涉及的数据:
- 你输入的激活码
- 设备指纹:MAC 地址哈希 + OS 信息哈希(不可逆,无法反推真实 MAC)
- 当前 IP:FLM 后端在防滥用时可能记录
不传输:
- 服务器列表
- 凭据
- 审计日志
- 对话历史
- 任何文件内容
详见 许可证与订阅。
关于自动更新
启动时(或按你的设定频率)Reeve 会拉一次 versions.json:
- 请求:
GET https://...r2.dev/reeve/versions.json - 不携带任何账号标识 / 凭据 / 设备指纹
- 仅用本机当前版本号对比是否需要更新
下载新安装包时同样不带身份信息。可在 设置 → 自动更新 完全关闭。
遥测 / 数据收集
没有。
- ❌ 不收集崩溃报告(崩溃日志在本地
<app data>/.../logs/) - ❌ 不收集使用统计(多少次打开终端 / 多少次工具调用,全部本地)
- ❌ 不预装任何第三方 SDK
- ❌ 不向广告 / 分析平台发送任何数据
你拥有的控制
| 你想做的 | 操作 |
|---|---|
| 完全离线运行 | 设置 → 关闭自动更新;不用内置 AI 桥接(仅 SSH/SFTP 不需要联网) |
| 清除所有数据 | 卸载 + 删除 <app data>/com.agilefr.reeve/ |
| 重置凭据库 | 主密码 → 重置凭据库 → 清空 |
| 限制 AI 看到的数据 | 服务器单独配 AI 策略 + MCP Token 可见服务器裁剪 |
| 主密码加固 | 启用主密码 → KEK→DEK 包装凭据库 |
反馈
如果发现 Reeve 行为与本政策不符,这是 bug——请在仓库提 Issue。
政策变更
本政策可能随版本更新。重大变更会在 release notes 高亮,并在应用内弹窗告知(仅一次,本地确认,不上传)。