內建技術棧:零中國來源。客戶執行時自帶:允許。
平台真正的價值,在出狀況時撐得住,而不是 demo 跑得多順。
內建依賴沒有 Qwen / Aliyun / ByteDance / Baidu / Tencent / Huawei / ECharts / Ant Design / DingTalk / WeCom / Feishu。客戶在執行時自帶 Custom provider — 由客戶自己決定,平台預設不會幫你決定。主權永遠不離開客戶的部署環境。
主權不是功能旗標 — 是底層構造。加密、隔離、稽核、來源政策都先寫進基底,任何上層功能才開始開發。
- 逐使用者命名空間
- AES-256-GCM 靜態加密
- 逐請求 CSP nonce
- 零信任預設
- SAML / OIDC SSO
- 因果鏈稽核日誌
內建一律 排除。BYO 才是 例外。
內建技術棧零中國來源 — 我們不打包任何來自中國的模型、UI 套件、可觀測性工具、資料庫、部署系統,連 npm 或 Python 依賴都沒有。唯一例外是客戶執行時透過 Custom provider 自帶模型 — 由客戶自己決定,平台預設不會幫你決定。UI 上一律顯示為 Custom provider,不特別捧任何來源、也不偷藏任何來源。
不在 bundled 依賴、預設 LLM 與自架 observability 裡。
- Qwen
- Aliyun
- ByteDance
- Baidu
- Tencent
- Huawei
- ECharts
- Ant Design
- DingTalk
- WeCom
- Feishu / Lark
客戶在設定裡接任何 OpenAI 相容端點當 Custom provider。
Settings · LLM 輸入 API base + keyCustom — 沒有特別標記受監管產業客戶要的是乾淨的內建供應鏈。執行時的選擇是客戶自己的事。
沒有 telemetry、沒有使用分析、沒有偷走的推論代理路由到禁用來源。
每次 LLM 呼叫都帶 provider tag 進稽核日誌。客戶可驗證實際是 BYO 端點接收。
每個控制項, 每個狀態,誠實標示。
不打安全行銷話術。已實裝就標已實裝;部分實裝就標部分。產品內 hover 任何 chip 看得到對應 PR 或 verified 路徑。
逐使用者命名空間
每個帳號自己一個 LibSQL 命名空間。PRAGMA user_version 帳本追 schema。工作區資料、對話、工作流由架構天生隔離。
AES-256-GCM 靜態加密
OAuth token、文件內容、記憶候選都用 AES-256-GCM 加密。斷服務 — token atomic 釋放。
逐請求 CSP nonce
每次 render 重新產生 Content Security Policy nonce。inline script 攻擊在政策層直接擋下,不會碰到頁面。
零信任預設
預設一律拒絕(沒白名單就不放行)。內部走 TLS / mTLS、UPII 入口 要逐儀器金鑰。任何請求事後都能重放、追蹤、驗證。
SAML 2.0 / OIDC SSO
透過 Better Auth 跑企業 SSO。組織級部署用身分提供者登入。
因果鏈稽核日誌
工具呼叫 → workflow 步 → 記憶候選 → 通知。Persist queue + 受保護寫入,DB 卡頓時證據絕不漏掉。
工作區控制 AI 範疇。使用者控制身分。
不是所有資料都在同一層。工作區層的是團隊共用;使用者層的是個人。Memory Gatekeeper 跑在使用者層 — 你的記憶絕不會洩漏給同工作區的同事。
工作區層
- 文件
- 對話
- 工作流
- 工具目錄
- 知識 bot
使用者層
- 記憶(Gatekeeper)· OAuth token
- LLM key
- 個人偏好