SECURITY · 数据安全与隐私承诺

数据安全 与隐私保护

AI Skill Hub 是公开内容聚合平台,不收集用户个人信息,不存储用户行为画像。本页明确我们的数据处理边界。

01 — Data Boundaries

数据收集边界

我们只处理公开数据 + 必要的访问统计,不收集任何 PII(个人身份信息)。

我们会做的

• 抓取 GitHub / HuggingFace / HN / Reddit 等公开内容

• 收集页面访问 PV(用于改进推荐排序)

• 记录搜索关键词(用于改进语义字典)

• GA4 / Search Console 匿名流量统计

我们不会做的

• 不收集用户姓名 / 邮箱(除主动提交反馈外)

• 不构建个人用户画像

• 不向任何第三方出售数据

• 不接入广告联盟 / 追踪像素

🛡️用户主动信息

• 反馈表单提交的邮箱仅用于回复

• 仅 admin 内部可见,30 天后自动清理(如未跟进)

• 用户可随时邮件请求删除

• 请求邮箱 aiskill88@gmail.com

02 — AI Data Flow

AI 数据流转明确

3 个 AI Provider(OpenSealion / NVIDIA / Claude)的数据使用边界:

📤我们传给 AI Provider 的内容

• 公开 GitHub 项目的 README 节选

• AI 工具的公开标题、描述、tag

• 公开新闻的标题和摘要

从不发送用户搜索词到 AI(语义搜索在本地数据库进行 + 必要时仅传匿名查询字符串到 Claude 用于意图扩展)

🔍每次调用全审计

• 每次 AI 调用记录到 ai_provider_log:task / provider / model / tokens / latency / cost / 成败原因

• 每个业务级 AI 决策记录到 ai_decisions:决策类型 / model / reasoning / payload

• 累计审计数据可由管理员追溯任意条调用

03 — Infrastructure Security

基础设施安全

🔐身份认证

后台管理 JWT 鉴权 + Google Authenticator 2FA 双因素验证。所有 admin API endpoint 强制 auth。

🔒传输加密

全站 HTTPS(Let's Encrypt 自动续期)。所有 AI Provider 调用走 TLS 1.3。

🔑凭据管理

API key / OAuth refresh_token 仅保存在 VPS .env(chmod 600)+ SQLite app_config 表,不入仓库不进 Git。

📊访问日志

所有 admin 操作写入 operation_logs + login_logs 表。日志保留 30 天,自动清理超期记录。

🛟故障熔断

AI Router 内置 circuit breaker(5 连续失败自动熔断 5 分钟)。Provider 异常 0 用户感知。

🔄变更可追溯

每次平台变更记录到 platform_updates 表 + 部署脚本自动追加。所有路由调整可在 app_config 内审查。

04 — Security Disclosure

安全披露 & 联系

负责任披露 › 如果你发现任何安全漏洞 / 隐私问题 / 数据合规疑问,请发邮件到 aiskill88@gmail.com,主题加 [SECURITY]
我们承诺 1 个工作日内回复,3 个工作日内修复关键漏洞,并在 /updates 公开修复进度(不暴露漏洞细节)。