security & privacy
从架构上保证 prompt 始终归你。
ObixHub 是一个透明网关,不是数据湖。留存得越少,能泄露的就越少 —— 所以对于你发送的内容,我们几乎什么都不保留。
prompts
我们不保留。
消息正文与工具输入只是经过网关,从不写入我们的存储。我们只记录元数据 —— token 数、延迟、模型与状态 —— 这些足够用来计费和向你展示用量。
upstream
我们不存;上游视厂商而定。
我们不保留 prompt 与生成内容。若厂商提供不存储或零数据留存选项,我们在可用时会采用(例如 OpenAI Responses 必须传 store:false)。上游是否留存仍取决于各厂商产品与账号条款 —— 我们不做无条件保证。
keys
哈希存储、按团队限定、可随时吊销。
面向客户的 obx_ key 只以哈希形式存储 —— 我们无法还原原文。每个 key 绑定一个团队的预付钱包,带有自己的模型白名单,可在控制台轮换或吊销。obx_ key 绝不会转发给模型厂商。调用 Anthropic 或 OpenAI 所需的上游凭据经加密后静态存储,仅用于该团队的流量。
payments
我们看不到完整卡号。
充值与绑卡在 Stripe 托管结账页完成,完整卡号从不经过我们的服务器。若开启自动充值,Stripe 保存支付方式,我们只保存用于 off-session 扣款的支付方式引用,而不是卡号。
transport
传输与静态均加密。
与 ObixHub 之间的所有流量均经 TLS 加密。余额、用量、账户数据以及加密后的上游凭据,在基础设施提供方处以加密形式静态保存。
tenancy
按设计实现团队隔离。
余额、key 与用量按团队隔离。成员的 key 只会消耗本团队的预付余额,并受其所有者设定的模型允许列表约束。
responsible disclosure
发现了问题?先告诉我们,别先告诉整个互联网。
如果你认为发现了安全问题,请把细节和复现步骤发送到 hi@obixhub.com。我们会确认、排查并持续向你同步进展 —— 对于尊重用户数据的善意研究,我们不会追究。