用户手册 / 安全与配置

隐私、安全与同步配置

对于知识工具来说,隐私和安全不是补充功能,而是基础能力。本页介绍 Muses 在本地知识库、同步设置、安全边界和后续计划上的基本理解。

本地知识库的价值

本地知识库能力适合对数据控制、访问速度和离线可用性有要求的场景。即使启用远端同步,本地副本依然具有重要意义。

本地知识库不仅保存笔记,也会影响搜索、向量化、本地 AI、知识分析和回顾体验。对长期用户来说,本地数据的可访问性和可控性,比短期功能展示更重要。

同步与隐私边界

同步的目标是让内容在多端连续,而不是无限制地扩散数据。对于同步能力,建议文档持续说明:

  • 哪些内容会同步。
  • 哪些设置仅保存在本地。
  • AI 功能是否会把内容发送到外部服务。
  • 是否支持关闭某些同步或联网能力。

多端同步前,建议先确认账号一致、网络稳定、初始同步完成。大量导入或长时间离线后重新上线时,应等待同步状态稳定,再在多个端同时编辑同一批内容。

如果同一批笔记会在手机、Pad 和桌面端同时处理,建议先让一个端完成同步,再打开另一个端继续编辑。大量导入、转写和知识库重建期间,不要频繁在多端来回改同一条内容。

AI 与第三方服务

AI 能力可能使用云端模型、自定义 API Key 或本地模型。不同模式的数据边界不同:

  • 云端模型:内容可能发送到 Muses 配置的模型服务或后端代理。
  • 自定义 API Key:请求可能直接发送到用户选择的 OpenAI-compatible 服务。
  • 本地模型:处理尽量留在本机,但仍取决于具体功能是否支持本地执行。

使用敏感内容前,应先确认当前功能使用哪种模式。尤其是问 AI、摘要、转写、标题生成、任务解析和知识库问答,都可能涉及正文内容。

本地 MCP 服务

MCP 适合把 Muses 能力接入外部工具和 Agent,但它也意味着本地应用向外暴露工具接口。启用前建议确认:

  • 是否真的需要外部工具访问 Muses。
  • 是否允许局域网访问。
  • 工具能读取哪些内容、能写入哪些内容。
  • Todo 写操作是否会触发提醒、日历、来源笔记回写等副作用。
  • 使用完成后是否需要关闭 MCP 服务。

桌面端更适合启用本地 MCP 服务。移动端不适合依赖常驻后台服务。

如果只是普通记录和整理,不需要开启 MCP。只有在外部工具、Agent 或自动化流程需要读取笔记、写入 Todo 或调用 Muses 本地能力时,再考虑启用。

安全配置建议

  • 为账号设置安全的登录方式。
  • 在公用设备上谨慎保留登录状态。
  • 对敏感内容优先使用本地处理能力。
  • 定期检查同步设备与第三方接入项。
  • 不在不可信设备上下载本地模型或打开本地知识库。
  • 对包含私人信息的空间,先确认隐私空间、同步和 AI 设置。

桌面端如果开启应用密码锁,可以使用设置页提示的锁屏入口或快捷键。离开公用电脑时,优先锁定应用,而不是只把窗口最小化。

隐私空间

隐私空间适合存放不希望被普通工作区直接打开的内容。进入这类空间前,应先完成解锁校验,再创建或激活对应工作标签。取消解锁时,不应留下一个已经打开但不可访问的空标签。

隐私空间能降低误触和旁观风险,但它不是所有安全问题的唯一答案。账号安全、设备锁屏、同步设置和 AI 使用边界同样重要。

使用隐私空间时,先完成解锁,再打开对应空间或标签。取消解锁时,不应把内容留在已经打开的工作标签里。

端到端加密(计划)

如果端到端加密处于计划阶段,文档应明确说明当前状态,而不是让用户误以为已经默认启用。推荐持续同步这几类信息:

  • 当前是否已经支持端到端加密。
  • 如果未支持,当前数据保护方式是什么。
  • 未来计划覆盖哪些场景。
  • 启用后可能带来的功能限制或迁移要求。

在端到端加密正式启用前,不应把它描述为默认保护能力。对外说明应区分当前已有保护、可配置隐私选项和未来计划。

与隐私政策的关系

本页更侧重产品层面的使用说明和配置建议;涉及法律意义上的个人信息处理规则,应以「隐私政策」页面为准。

使用前检查清单

  • 已确认当前端是否登录正确账号。
  • 已了解哪些内容会同步。
  • 已确认 AI 功能使用云端、自定义 API Key 还是本地模型。
  • 已检查敏感内容是否进入合适空间。
  • 已确认 MCP、悬浮采集、系统分享和浏览器扩展是否真的需要启用。
  • 已知道隐私政策页面用于说明法律意义上的个人信息处理规则。

敏感内容建议

处理敏感内容前,建议先问 5 个问题:

  1. 这条内容是否需要同步到其它设备。
  2. 是否会调用云端 AI、自定义 API Key 或第三方转写服务。
  3. 是否可以改用本地模型、本地 ASR 或离线处理。
  4. 是否应该放进隐私空间。
  5. 是否需要关闭 MCP、扩展、悬浮采集或局域网访问。

如果无法确认当前功能的数据边界,先不要用它处理敏感材料。