跳转到内容

隐私与本地数据

ProxAI 是本地兼容代理。这让它适合调试,但也意味着本地文件可能包含 provider 配置、请求元数据、capture payload 和诊断信息。

产物隐私预期是否提交
config.toml本地运行时配置;可能包含 provider URL、API key 引用、route 选择或本地设置。
config.example.toml已跟踪示例和文档来源;必须保持脱敏和通用。
captures/用于调试的请求/响应 phase payload;可能包含私有 prompt 和工具数据。
logs/本地诊断;默认应紧凑且不含 body,但仍可能暴露运行上下文。
生成的站点输出静态文档构建产物。通常否,除非有意配置
P1

不记录 secrets

默认日志不应包含 request bodies、Authorization headers、API keys 和私有 prompts。

P2

窄范围 capture

只开启最小有用 phase:inbound_requestprovider_requestupstream_responseoutbound_response

P3

文档跟随已验证行为

如果隐私行为不确定,先检查实现和测试,再写入文档或分享假设。

P4

分享脱敏证据

优先分享症状、状态码、phase 名称、错误类型、脱敏 headers 和裁剪后的 payload 结构,而不是完整私有 capture。

  1. 1

    先分类症状

    目标: 避免 capture 超出需要的数据。

    操作
    • 判断问题属于启动配置、route matching、provider transport、协议转换、streaming 还是客户端展示。
    • 开启 payload capture 前,先看紧凑日志。

    验证: 你知道哪个 phase 最可能解释问题。

  2. 2

    只 capture 一个 phase

    目标: 限制私有数据暴露面。

    操作
    • 只开启一个 capture phase。
    • 优先选择最靠近疑似边界的 phase。
    • 用最小 prompt/tool input 复现一次。

    验证: 该 capture 能回答问题,不需要完整 request lifecycle。

  3. 3

    分享前脱敏

    目标: 保留有用结构,移除私有内容。

    操作
    • 移除 API keys、Authorization headers、私有 prompts、文件内容、个人数据和专有工具参数。
    • 保留 protocol values、phase names、status codes、error types 和最小结构片段。

    验证: 维护者能理解边界失败,但看不到私有数据。

通常有用避免或脱敏
ProxAI 版本、OS、不含 secrets 的命令形态API keys、bearer tokens、完整环境变量 dump
入站协议和请求 path完整 prompt 或私有文件片段
脱敏后的 provider protocol 和 route name/pattern私有 provider 账号细节或内部 URL
错误类型、HTTP status、Retry-After 等安全保留 header如果包含 prompt 或账号数据,不要分享完整 upstream error body
带 placeholder 的最小 JSON shape未经审查和脱敏的完整 captures

精确本地路径和忽略产物见 环境与文件。Phase 名称见 Capture phases