你的代码。
你的账户。你的手机。
Pocket Code 不是 AI 提供商,不在我们的服务器上处理你的代码,也不用你的工作训练模型。你连接自己的账户,所有敏感信息都保留在设备上、加密存储。
BYOK — 你的账户,你的模型
任何 AI、托管、BaaS 或可观察性提供商(4 个 AI 提供商 + 13 个外部平台)都使用你自己的 token 运行。Pocket Code 从不充当中间人。
设备端加密
API key、SSH key、数据库密码和 OAuth token 使用 Android Keystore 加密。密钥从不出现在日志或应用状态中。
没有中间代理
每次调用(AI、部署、远程数据库、第三方应用市场)都从手机直接发送到服务。我们不运行处理你代码的服务器。
生物识别认证
敏感操作 — 明文查看 token、打开生产连接、执行 DELETE/DROP/TRUNCATE、解锁屏蔽列 — 需要设备的指纹、人脸或 PIN。
你的代码不用于训练模型
Pocket Code 不使用你的代码、prompts、文件、查询或项目元数据来训练我们的或第三方的模型。每次 AI 交互都遵循你提供商的政策直接发送给他们 — 完全不经过我们。
数据默认存于本地
项目、片段、查询、连接和 schema 存储在应用的本地存储中。云同步(Firebase)是可选的、Pro 才有的功能,你始终控制同步什么。
每样东西存放在哪里
完全透明:对每种数据类型,你都清楚地知道它存在哪里、是否离开手机以及去往何处。
始终留在手机上的内容
- •你的项目源代码
- •AI 助手的 prompts、文件和查询
- •Tokens、API keys、SSH keys 和数据库密码(加密)
- •查询历史和工作流运行历史
- •编辑器设置、片段、快捷键
- •本地数据库(SQLite + 内置 PostgreSQL)
离开手机的内容 — 以及去往何处
- •AI:用你的 token 直接发送到提供商(Gemini、OpenAI、Claude、Copilot…)。无中间代理。
- •Deploy / BaaS / 监控:直接发送到提供商(Vercel、Render、Sentry…)。无中间代理。
- •SSH 和远程数据库:设备 → 服务器的直接连接。
- •Firebase(在你同意下):身份认证、匿名分析、崩溃报告、推送通知。
- •RevenueCat:Pro 订阅状态(无支付数据)。
- •云同步(Pro 且需启用):项目、设置、片段、主题。
我们从不发送到任何地方的内容
- •你的源代码到我们的服务器 — 因为我们没有处理它的服务器
- •你的 AI prompts 或响应 — 直接发送到你选择的提供商
- •你的明文凭据 — 我们以加密形式使用,且仅在调用期间
- •你的代码用于训练模型 — 既不是我们的,也不是第三方的,也不是匿名化的
纵深防御
保护层层叠加:即使有人物理上接触到已解锁的手机,最敏感的操作仍然需要再次确认。
凭据加密
所有 tokens、API keys、SSH keys 和数据库密码都使用 Android Keystore 加密。加密绑定到设备锁屏 — 不解锁手机就没有密钥。
敏感操作的生物识别门控
打开 Integrations 面板(里面所有 token 是明文)、对数据库执行 DELETE/DROP/TRUNCATE、打开标记为生产的连接,或明文查看屏蔽列 — 都需要指纹、人脸或 PIN。
破坏性操作的安全模式
危险的 SQL 操作(没有 WHERE 的 DELETE、DROP TABLE、TRUNCATE、ALTER DROP COLUMN、没有 WHERE 的 UPDATE)会被拦截,执行前显示完整 SQL 和受影响的行。可禁用,但默认开启。
自动数据屏蔽
数据查看器检测 `email`、`password`、`token`、`secret`、`api_key` 列,默认以屏蔽方式显示。明文查看需要生物识别认证。
AI 代理的逐工具权限
聊天代理只能调用你明确启用的工具(文件读取、终端执行、DB 写入等)。默认为只读。
防注入命令验证
当 AI 在终端中运行命令时,每个命令都经过注入清理、沙箱化到项目目录,并有超时机制以避免僵尸进程。
发现什么了吗?
如果你发现安全漏洞,请发邮件给支持团队。我们在 48 个工作小时内回复,并按严重程度发布修复。目前没有正式的漏洞赏金计划,但我们会公开感谢所有负责任的报告(在你同意的前提下)。
你也可以在 /.well-known/security.txt 查看 security.txt。
隐私政策
我们收集的数据、方式以及保留时长
阅读服务条款
使用 Pocket Code 的规则
阅读删除账户
如何删除你的账户及所有数据
阅读