隐私政策
最近更新:2026 年 5 月
总览
DuckTerm("本应用")是由独立开发者开发与运营的 iPhone SSH 客户端。我们认真对待你的隐私。本政策说明应用访问哪些数据、如何使用,以及你的权利。
SSH 凭据与私钥
你输入的密码、私钥(.pem)、口令短语等任何认证材料,都仅存放在设备上的 iOS Keychain 中。它们不会传到我们的服务器,也不会进入 iCloud —— 除非你在系统层显式启用了 iCloud Keychain,那种情况由 Apple 的端到端加密接管,我们一样无访问权限。
服务器列表、工作区与代码片段
已保存的服务器条目(host、port、username、tag)、工作区、snippets 与 shortcuts 默认存在本地。如果你在 设置 中启用 iCloud 同步,这部分元数据会通过你私人的 iCloud (CloudKit) 账户复制到其他设备。机密信息(密码、密钥)不包含在 iCloud 同步中 —— 它们只待在 Keychain。我们没有任何持有这些数据的服务器。
SSH、Mosh 与 SFTP 流量
SSH、Mosh 与 SFTP 会话从你的 iPhone 直连你指定的主机。我们不代理、不解密、不存储这些流量。如果你配了 HTTP/SOCKS5 代理或 ProxyJump 跳板,那一跳也由你自己控制 —— DuckTerm 仅按你配置的路径转发数据包。
推送通知
Pro 可选功能(agent inbox、完成提醒)通过 Apple Push Notification (APN) 投递推送。我们的最简推送中继只把 payload 转给 APN;payload 内容对我们端到端不可见,且仅在投递前短暂保留然后丢弃。我们不记录、不索引、不分析推送内容。
Inbox 与 Snapshot(设备本地)
落进 Inbox 的 agent 事件,以及 SSH 会话中抓取的 tmux snapshot,仅存于设备本地。Free 版保留 30 天,Pro 版无限。设置中可单条或整条清空。
语音输入
语音输入(Mic / Wispr)使用 Apple 的设备端 Speech 框架。音频不离开设备,我们不录制、不存储、不上传任何语音样本。
崩溃报告(Sentry)
我们使用 Sentry 收集匿名崩溃报告与性能数据,用以发现并修复 bug。崩溃报告可能包含:
- 设备型号与 iOS 版本
- App 版本号与 build 号
- 崩溃栈
- 基础性能指标
崩溃报告不包含你的 SSH 凭据、服务器列表、终端输出、代码片段、inbox 事件或任何可识别个人信息。授权 token、密码等敏感字段在传输前自动脱敏。设置中可关闭崩溃上报。
无广告、无追踪
DuckTerm 不内置任何广告 SDK、分析追踪或第三方数据收集服务(Sentry 崩溃上报除外,可关)。我们不出售、不分享、不以任何方式变现你的数据。
应用内购买
Pro 订阅与永久买断完全由 Apple 通过 App Store 处理。我们不接收、不存储你的支付信息。订单校验走 Apple 的标准基础设施。
数据删除
在 iPhone 上删除 DuckTerm 即可清掉所有本机数据。要同时清掉 iCloud 同步过的元数据,请在删除前先在 设置 中关闭 iCloud 同步,或在 iOS 系统设置 → iCloud Drive 中删除 DuckTerm 容器。
儿童隐私
DuckTerm 不面向 13 岁以下儿童,我们不会在知情情况下收集儿童的个人信息。
政策变更
本政策可能不定期更新。变更会发布在本页并更新顶部的修订日期。
联系我们
如对本政策有疑问,请联系 duckterm@limitwatch.app。