下载

安全白皮书

Cove 端侧隐私的具体实现。

本文档面向合规团队、IT 决策人,以及持怀疑态度的用户。我们逐条列出 Cove 应用可能发起的所有外部网络调用、模型如何被验证、何种数据保存在哪里,以及对行业框架(HIPAA / GDPR / ISO 27001)的姿态。

版本 1.0 最后更新:2026-04-29

执行摘要

Cove 应用把所有用户内容(照片、语音、转写、健康记录、翻译)完全在用户的 Android 设备本地处理。任何内容数据都不会上传到 Cove 服务器、第三方 AI 提供商或分析平台。仅有的外发网络调用是:Hugging Face 模型下载、Google Play 购买验证、可选的邮件订阅、可选的匿名崩溃报告。Cove 没有任何处理用户内容的服务器。

外发网络调用——完整清单

Cove 任意应用可能发起的每一种网络调用,按用途分。我们承诺不超出此清单——新增任何调用类型都需要应用版本升级,并在 changelog 中记录。

  • 从 Hugging Face 下载模型

    Purpose
    首次启动时下载 Gemma 4 E2B 权重(约 2.5 GB,Q4_0 量化——免费版与 Pro 同一份文件)
    Endpoint
    huggingface.co/litert-community(LiteRT-LM 镜像 Google 官方 Gemma 发布版)
    Data
    无外发数据。入站:模型权重文件。
    Frequency
    每设备一次——4 款 Cove 应用复用同一份 Gemma 4 E2B 文件
    User control
    可通过把模型文件预放到 /sdcard/GemmaApp/models/ 跳过

  • Google Play 购买验证

    Purpose
    通过 Google Play Billing Library 验证 Pro 升级购买
    Endpoint
    Google Play 服务器(由 Play Billing Library 处理,不经 Cove)
    Data
    Google 账户邮箱 + 购买令牌(由 Google 处理,Cove 服务器永远看不到——我们没有服务器)
    Frequency
    Pro 升级尝试时,Pro 授权重新校验时(由 Play 服务静默执行,约每日)
    User control
    使用 Pro 功能必须。免费版从不触发此调用。

  • 邮件订阅(自愿)

    Purpose
    订阅 Cove 邮件简报(仅 covebase.app 网站)
    Endpoint
    自托管 Listmonk 实例(Cove 自家基础设施)
    Data
    仅邮箱地址
    Frequency
    每次订阅尝试一次
    User control
    完全自愿,通过网站表单。应用本身不收集邮箱。

  • 匿名崩溃报告(自愿)

    Purpose
    帮助诊断应用稳定性问题
    Endpoint
    Sentry 自托管实例(Cove 自家基础设施)
    Data
    堆栈跟踪、Android 版本、设备型号、应用版本。无用户内容。发送前 PII 已清洗。
    Frequency
    崩溃事件时(我们希望少发生)
    User control
    默认关闭。设置 → 隐私 → 崩溃报告 中开启。

模型完整性验证

加载 Gemma 4 E2B 模型前,Cove 会用嵌入应用中的预期 SHA-256 哈希验证文件。哈希不匹配则模型被拒绝,提示用户重新下载。这防御:(a) 下载损坏;(b) 有文件系统访问权限的恶意行为者篡改模型文件。我们不加载未验证的权重——这是硬约束。

模型哈希注册表

Model variant Approx. size Hash algorithm Hash source
Gemma 4 E2B (Q4_0, default) ~2.5 GB SHA-256 embedded + signed
Gemma 4 E4B (Q4_0, optional upgrade) ~3.6 GB SHA-256 embedded + signed
Gemma 4 E2B (Q4_0, prior release — kept for rollback) ~2.5 GB SHA-256 embedded + signed

数据保留——存哪里

所有用户内容留在设备上。下面是清单。

  • 翻译历史

    Where
    本地 SQLite 数据库(Room)位于 /data/data/com.gemmaapp.travellens/databases/
    Retention
    直到用户删除(应用内历史界面)或应用被卸载
    Encryption
    Android 默认文件系统加密(Android 6+ 全设备加密)

  • 语音录音 + 转写

    Where
    音频文件在应用私有存储;转写在 Room 数据库
    Retention
    直到用户从应用内库删除或应用被卸载
    Encryption
    Android 默认文件系统加密

  • 拍照分析 + 历史

    Where
    本地 SQLite 数据库 /data/data/com.gemmaapp.photolens/databases/
    Retention
    直到用户删除或应用被卸载。原照片仅在用户明确保存时存储。
    Encryption
    Android 默认文件系统加密

  • 健康日志条目

    Where
    本地 SQLite 数据库 /data/data/com.gemmaapp.healthlens/databases/,使用 Android Keystore 派生密钥进行 AES-256 静态加密
    Retention
    直到用户删除或应用被卸载。SOS 相关条目不与任何地方同步。
    Encryption
    AES-256-GCM,密钥封存在 Android Keystore(在设备默认之外的额外加密层——健康数据值得这层额外保护)

合规姿态

我们是一家小独立工作室,Cove 是面向消费者的软件。我们不声称没拿到的认证。下面是对常被问及的框架的诚实立场。

  • HIPAA(美国医疗)

    非商业伙伴(BA)。Cove Health 不是 HIPAA 覆盖系统。然而端侧设计意味着口述给 Cove 的患者数据从不离开设备——你所在组织的政策是否允许这样做,需要你与合规团队确认。

  • GDPR(欧盟隐私)

    设计上 data-minimal。我们不收集内容数据。处理的个人数据仅有:可选邮箱(简报)、可选崩溃报告(PII 已清洗)、Google Play 购买记录(由 Google 作为独立处理者处理)。删除权:卸载应用 + 取消订阅(一键)。

  • ISO 27001

    未认证。小型独立工作室通常没预算做 ISO 认证——它对一个 $3.99 消费应用不合适。本文档描述的技术控制涵盖了 ISO 27001 关心的多数同类威胁。

  • SOC 2

    未认证。理由同 ISO 27001。我们不为用户内容运营云服务,这本身就移除了 SOC 2 的多数审计面。

漏洞披露

如果你发现安全问题,请邮件 [email protected]([email protected] 的别名,但使用此地址会被路由为安全报告)。我们承诺:3 个工作日内确认收到、14 天内调查、在 changelog 中署名(如愿意公开姓名)。我们暂未启动 bug bounty 项目——阶段太早——但很乐意为有效报告寄出 Cove Pro 密钥作为感谢。

合规 / 法务团队的疑问

如果你的组织正在评估 Cove 给员工使用,需要更详细的评估(如签署的问卷、安全政策审阅),邮件 [email protected] 说明具体需求。

邮件 [email protected] 查看网络调用审计