安全
从设计上就只保留最少的数据
实时音频从不触及 Newey 服务器,字幕在你的浏览器中渲染。你选择保存的内容始终在你的掌控之下 — 随时可导出、可删除,还可选择端到端加密。从一开始就尽量少保留数据,是我们从第一天起的设计原则。
音频从不经过我们的服务器
你的浏览器使用短时效密钥直接连接语音识别引擎,实时转写与翻译流也沿同一路径直接返回。Newey 服务器只负责身份验证、临时密钥签发和用量计量 — 从不接收、存储或中转你的音频。
你的浏览器
语音识别引擎
Newey 服务器
身份验证 · 密钥签发 · 用量计量
直连架构,最小权限密钥
服务器签发的临时密钥仅限实时转写用途,有效期很短 — 刚好够建立连接。密钥内容从不写入我们的数据库,只保留签发元数据用于审计。
服务器职责保持最小化
就实时路径而言,服务器的职责止于登录、密钥签发和基于心跳的用量计量。实时音频与实时字幕流不上服务器,是代码库的设计不变式 — 而不是一个配置开关。
可选功能遵循同一原则
即使开启了观众共享(默认关闭),字幕文本也只为投递目的经过服务器内存 — 不写入数据库或日志,并在会话结束的那一刻即被丢弃。AI 上下文建议与自动标题同样只临时处理最少量的文本,我们的服务器不会存储其中任何内容。无论你开启什么功能,原则始终不变:让服务器保留的东西尽可能少。
数据生命周期
服务触及的每一类数据 — 在哪里处理、如何保护、保留多久。
| 数据 | 处理与存储 | 加密 | 保留与控制 |
|---|---|---|---|
| 实时音频 | 浏览器 → 语音识别引擎,直连传输。Newey 服务器从不接收。 | 传输中 TLS(wss) | 不在任何地方存储 — 仅作实时处理 |
| 实时字幕(转写 · 翻译流) | 在你的浏览器中渲染,不经过 Newey 服务器。例外:观众共享(可选开启,默认关闭)仅为投递目的让字幕文本经过服务器内存中转。 | 传输中 TLS | 不存储;共享中转内容在会话结束的那一刻即被丢弃 |
| 保存的会话记录(可选) | 你的账号,存于服务器存储 — 仅限你选择保存的已结束会话 | 存储在托管数据库基础设施上;开启可选的端到端加密后,服务器只存储密文 | 每个账号最多 500 条(超出时从最旧的开始清理);随时可导出或删除 |
| 词汇表与本地记录缓存 | 本地记录缓存:仅在此浏览器中。词汇表:此浏览器,另在你的账号中保留一份副本,供浏览器扩展和新设备读取 | 浏览器内以 AES-256-GCM 加密,密钥为不可导出的 WebCrypto 密钥;词汇表的账号副本与其他账号数据一样存储 — 不做端到端加密 | 随时可自行清除;词汇表的账号副本会在每次保存时被替换,并随账号一并删除。清除浏览器数据只会删除缓存,不影响已保存的记录 |
| 账号(邮箱 · 姓名 · 头像) | Newey 服务器 — 由 Google 登录提供。不存储任何密码;登录委托给 Google OAuth 与通行密钥 | 传输中 TLS;会话 Cookie 为 HttpOnly · Secure | 删除账号时全部删除,包括撤销 Google 授权 — 唯一的例外是为安全与法律责任而保留的一条最小化删除审计记录(邮箱、时间) |
| 用量计量 | Newey 服务器 — 基于心跳的字幕活跃秒数,以及密钥签发审计元数据(不含密钥内容) | 传输中 TLS | 为计费与审计而保留;包含在你的 JSON 导出中;删除账号时一并清除 |
| 分析(可选开启) | 仅在你同意后才收集;所有地区默认关闭 | 传输中 TLS;仅使用化名化的内部 ID — 绝不使用你的邮箱或姓名 | 有限保留(最长 14 个月);同意可随时撤回 |
加密
传输中:全程 TLS
服务的所有流量均以 TLS 加密 — 网站走 HTTPS,语音识别引擎连接走 wss,音频传输也不例外。
服务器端的静态数据
保存到账号的会话记录存储在托管数据库基础设施上,且每一次读写都限定在你的账号范围内 — 其他用户无法访问。开启可选的端到端加密后,服务器只存储密文。
设备端静态加密
记录的本地缓存与词汇表在此浏览器中以 AES-256-GCM 加密。密钥是保存在 IndexedDB 中的不可导出(non-extractable)WebCrypto 密钥 — 任何脚本都无法读出它,密钥从不离开你的设备。每次写入都会生成新的 12 字节 IV。“仅限本地”有一个例外:词汇表还会镜像到你的账号,供浏览器扩展和新设备读取。
可选的端到端加密
开启后,转写与翻译正文 — 你记录的核心内容 — 会在上传前于你的设备上完成加密,服务器只存储密文。加密由随机的 256 位 AES-GCM 主密钥执行,每条记录使用新的 IV;主密钥通过 6 个单词的恢复短语(从 BIP39 词表中均匀抽取)经 PBKDF2-SHA512 迭代 600,000 次进行封装,这一迭代下限由服务器强制执行。没有你的恢复短语,服务器也无法解开密钥。
你的数据,由你控制
保存是一种选择,而不是默认行为 — 你保存的一切都可以随时导出或抹除。
私密会话
开始前打开私密会话开关,就不会保存任何内容 — 存储路径根本不会被调用。只有你选择保存的已结束会话才会留在账号中。
导出一切
任意转写都可下载为 TXT 或 SRT,也可以把服务器上属于你的数据 — 个人资料、关联账号(不含令牌)、通行密钥元数据、会话元数据、用量、密钥签发审计条目和保存的记录 — 导出为一个 JSON 文件。
按任意粒度删除
记录可以逐条删除,也可以一次全部清空。删除账号会在单个数据库事务中抹除一切,撤销 Google OAuth 授权,并写入一条会被保留的最小化删除审计记录(邮箱、时间)。
权利,直接实现在产品里
导出实现了 GDPR 的访问权与可携权(第 15、20 条);删除实现了被遗忘权(第 17 条)。产品覆盖不到的请求,请写信至 newey.ai@gmail.com。
平台实践
严格的 Content Security Policy
生产环境强制执行 CSP — default-src 'self'、object-src 'none'、frame-ancestors 'none' — 阻断一切未经显式允许的来源。
安全响应头
HSTS(2 年,includeSubDomains)、X-Content-Type-Options nosniff、X-Frame-Options DENY、Referrer-Policy,以及一条阻断摄像头与地理位置、并将麦克风与屏幕捕获限定在应用自身的 Permissions-Policy。
机密信息从不触及客户端
主 API 密钥与数据库凭据只存在于服务器环境中,并由 server-only 模块守卫保护 — 客户端包中不携带任何机密。
没有可泄露的密码
我们不存储任何密码 — 登录委托给 Google OAuth 与通行密钥,通行密钥的生物特征从不离开你的设备(只存储公钥和一个标识符)。身份验证 Cookie 为 HttpOnly 且 Secure,API 请求会进行来源校验。
以同意为前提的分析
分析在所有地区默认关闭,仅在你同意后才运行。广告信号永久拒绝 — 没有任何广告 Cookie — 也没有会话回放;只以化名化的内部 ID 识别你,绝不是邮箱或姓名。
合规立场
GDPR 数据主体权利直接实现在产品中 — 导出承担访问权与可携权,删除承担被遗忘权 — 服务的设计与运营均以遵循 GDPR 与韩国《个人信息保护法》为准。有关数据处理、跨境传输与保留期限的详情,均在隐私政策中披露。
我们的内部安全计划持续对照 ISO/IEC 27001:2022 的控制项进行审视与对齐。我们定期开展内部安全审查,包括对抗性测试,对确认的问题及时修复并部署。
我们最倚重的控制是架构本身:服务器能触及的敏感数据越少,需要保护的东西就越少。把服务器接触敏感数据的表面压到最小,是从第一天起的设计原则。
报告漏洞
我们发布了包含联系方式与有效期的 security.txt,并且真心希望听到你的任何发现。请通过邮件提交报告,附上足以复现问题的细节。
