信任基礎

我們如何處理你的 API Key

一句話：Key 只活在一次請求裡。檢測完成後立刻從記憶體消失。

✓

永不儲存原始 Key

Key 經由異步檢測任務（/api/check/jobs）只在 Go 服務處理過程中持有，不作持久明文存儲。不寫入硬碟、不寫入資料庫、不寫入日誌。請求結束、記憶體回收。

✓

脫敏後才公開

如果你勾選「公開到記錄牆」，我們只保留：供應商、Tier、TQI 分數、六維度分數、狀態、暱稱（選填）、以及 Key 的 不可逆指紋（HMAC-SHA256 前 10 碼）。無法從指紋反推原始 Key。

✓

不當中間人

檢測請求直接由我們的伺服器打給原廠（Anthropic / OpenAI / Google）的官方 HTTPS 端點。我們不會把你的 Key 轉發給任何第三方，也不會緩存任何原廠回應。

✓

核心邏輯公開

檢測腳本、TQI 計算、Rate Limit 抽取邏輯都在 backend/internal/detectors/ 下。你可以親自 review 程式碼，或是在自己的環境重跑一次檢測。

技術架構圖

把 Key 比喻成「信件」，我們的角色像是信封上的快遞標籤——只看得到收件人（哪家供應商），看不到內容（Key 值）。

 使用者 ──▶ [ 瀏覽器 ] ──HTTPS──▶  (一次性，不落地)
                                    │
                                    ▼
                  [ tokenx 伺服器 ]  ◀──▶  Anthropic / OpenAI / Google
                  記憶體內處理 · 即用即棄
                                    │
                                    ▼
                  [ 脫敏後記錄 ] ──▶ 公開記錄牆
                  僅分數 · Tier · 指紋——Key 永不寫入

你可以驗證的事情

· 用自己的 Key 觀察原廠 Dashboard 的 API 呼叫數，確認只有 2 次請求。
· 打開瀏覽器 DevTools 的 Network 頁，檢視我們送到後端的內容。
· 撤銷 Key 後重新檢測，確認我們會立即顯示「已封」狀態。
· 查看 GitHub 上的檢測腳本原始碼。

有疑問或發現問題？請寄信到 security@tokenx.example，我們 72 小時內會回覆並公開說明。

立即檢測 →