信任基礎
我們如何處理你的 API Key
一句話:Key 只活在一次請求裡。檢測完成後立刻從記憶體消失。
✓
永不儲存原始 Key
Key 經由異步檢測任務(/api/check/jobs)只在 Go 服務處理過程中持有,不作持久明文存儲。 不寫入硬碟、不寫入資料庫、不寫入日誌。請求結束、記憶體回收。
✓
脫敏後才公開
如果你勾選「公開到記錄牆」,我們只保留:供應商、Tier、TQI 分數、六維度分數、 狀態、暱稱(選填)、以及 Key 的 不可逆指紋(HMAC-SHA256 前 10 碼)。 無法從指紋反推原始 Key。
✓
不當中間人
檢測請求直接由我們的伺服器打給原廠 (Anthropic / OpenAI / Google) 的官方 HTTPS 端點。 我們不會把你的 Key 轉發給任何第三方,也不會緩存任何原廠回應。
✓
核心邏輯公開
檢測腳本、TQI 計算、Rate Limit 抽取邏輯都在 backend/internal/detectors/ 下。 你可以親自 review 程式碼,或是在自己的環境重跑一次檢測。
技術架構圖
把 Key 比喻成「信件」,我們的角色像是信封上的快遞標籤——只看得到收件人 (哪家供應商),看不到內容(Key 值)。
┌──────────┐ (一次性,
使用者 ─▶│ 瀏覽器 │──HTTPS─▶ 不落地)
└──────────┘ │
▼
┌───────────────┐ ┌────────────────┐
│ tokenx 伺服器 │──────▶│ Anthropic / │
│ 記憶體內處理 │◀──────│ OpenAI / Google│
│ 即用即棄 │ └────────────────┘
└───────────────┘
│
▼
┌───────────────┐
│ 脫敏後記錄 │ ← 僅分數、Tier、指紋
│ (公開記錄牆) │ Key 永不寫入
└───────────────┘你可以驗證的事情
- · 用自己的 Key 觀察原廠 Dashboard 的 API 呼叫數,確認只有 2 次請求。
- · 打開瀏覽器 DevTools 的 Network 頁,檢視我們送到後端的內容。
- · 撤銷 Key 後重新檢測,確認我們會立即顯示「已封」狀態。
- · 查看 GitHub 上的檢測腳本原始碼。
有疑問或發現問題?請寄信到
security@tokenx.example, 我們 72 小時內會回覆並公開說明。