NOLO
Comprovável, não apenas prometido

O que é realmente privado, e o que não é.

A maioria dos apps diz "respeitamos a sua privacidade" e para por aí. Aqui está o quadro completo: o que sai do seu dispositivo, quem recebe, o que guardamos e onde estão os limites honestos. Sem palavras de marketing que você não pode verificar.

Fluxo de dados

O que sai do seu dispositivo, por ação.

Uma IA que roda no seu navegador ainda precisa enviar algumas coisas para responder a você. Aqui está exatamente o quê, e para quem, em cada coisa que o NOLO pode fazer.

Ação
O que sai do seu dispositivo
Quem recebe
O que guardam
Mensagem de chat
A sua mensagem e as partes da conversa necessárias para responder. Sem nome, sem e-mail, sem conta.
O fornecedor do modelo de IA, alcançado através do servidor do NOLO, para que o seu IP real nunca chegue até ele.
Nada. Os fornecedores que usamos operam sob termos de zero-data-retention: respondem e descartam.
Pesquisa web
Apenas as palavras-chave da busca O NOLO monta a partir do seu pedido, não da sua conversa inteira.
O fornecedor de busca, através do servidor do NOLO.
Um registo de consulta de busca padrão do lado deles; sem ligação a quem você é.
Geração de imagens
O prompt de texto para a imagem.
Um fornecedor de imagens de terceiros (modelo proprietário), através do servidor do NOLO.
Processa o prompt para gerar a imagem; sem vínculo a uma identidade.
Ditado por voz
O curto clipe de áudio que você grava, apenas enquanto segura o microfone.
O fornecedor de fala para texto, através do servidor do NOLO.
Transcreve-o e descarta-o; o áudio não é guardado.
Dados ao vivo
O símbolo, o lugar ou a consulta (um ticker de ação, uma cidade para o clima).
Fontes públicas de dados de mercado e meteorologia.
Um pedido de API normal; sem nenhum perfil seu.
Sincronização com o Drive (opcional)
Um blob encriptado dos seus chats, apenas se você ativar a sincronização.
O seu próprio Google Drive (uma pasta de app privada). O NOLO não a consegue ler.
Fica no seu Drive até você apagá-lo. Veja o limite honesto abaixo.

Se você nunca ativar a sincronização e nunca usar uma ferramenta, a única coisa que alguma vez sai do seu dispositivo é a mensagem que você envia para obter uma resposta.

Do nosso lado

O que os próprios servidores do NOLO guardam.

Guardamos um pouco, sim, e preferimos dizer exatamente o quê em vez de fingir que é zero. É pseudónimo: ligado ao seu ID anónimo, nunca a um nome, e-mail ou IP real, e nunca ao conteúdo dos seus chats.

Registo de uso por mensagem

Para cada mensagem guardamos uma pequena linha: o seu ID anónimo, o tipo de mensagem, qual modelo respondeu, a contagem de tokens e o seu plano. É assim que os limites diários e a cobrança funcionam. Nunca guardamos o texto das suas mensagens nem as respostas.

Linhas de uso (id, tipo, tokens, plano)90 dias
Contagens anónimas de visitantes180 dias
Totais de uso diário30 dias
Buckets de limite de taxa7 dias
O seu endereço IP, às clarasnunca
O conteúdo dos seus chatsnunca

O seu IP só é usado como um hash unidirecional com salt para impedir abusos, e esse bucket é apagado dentro de uma semana. Não pode ser revertido para o seu endereço.

A parte honesta

Onde os limites realmente estão.

Qualquer um pode dizer "totalmente privado". Estes são os pontos onde o NOLO não é, ditos com clareza para que você decida por si mesmo.

O seu histórico está no seu dispositivo, mas não está encriptado em repouso

Os chats são guardados no armazenamento local do seu navegador, em texto simples. Isso mantém-nos fora dos nossos servidores, mas também significa que qualquer pessoa com acesso ao seu dispositivo desbloqueado poderia abri-los. Se isso lhe importa, use um código de bloqueio no dispositivo e limpe o NOLO quando terminar.

A sincronização com o Drive é encriptada, mas não é verdadeiramente end-to-end

Quando você ativa a sincronização, os seus chats são encriptados antes de chegarem ao seu Google Drive. Mas a chave deriva do identificador da sua conta Google, não de uma senha que só você conhece, por isso é uma ofuscação forte, e não uma encriptação de conhecimento zero. Encare isto como "muito melhor do que texto simples", não como "matematicamente impossível para qualquer um".

A geração de imagens usa um modelo proprietário de terceiros

Os modelos de chat são open-weights e nós os nomeamos. A geração de imagens é a exceção: roda no modelo proprietário de um fornecedor terceiro. O prompt continua a passar pelo nosso servidor sem a sua identidade, mas é justo saber que essa capacidade não é open-weights.

Não confie, verifique

Verifique você mesmo em dois minutos.

Você não precisa acreditar na nossa palavra sobre nada disto. O navegador já lhe dá as ferramentas para observar o que o NOLO faz.

Abra o painel de rede

No NOLO, pressione F12 e abra a aba Network e depois envie uma mensagem. Você verá os pedidos irem para a própria API do NOLO e para mais nenhum lugar, sem redes de anúncios, sem rastreadores de análise, sem perfiladores de terceiros.

Limpe o armazenamento

No mesmo painel, abra ApplicationArmazenamento e limpe-o. Os seus chats desaparecem, porque é o único lugar onde vivem. Não há cópia no servidor para apagar.

Verifique o que foi enviado

Clique em qualquer pedido para /api/chat e leia o payload. Não há e-mail, não há nome, não há token de login, apenas o seu ID anónimo e a mensagem que você escolheu enviar.

Identifique o modelo

Pergunte ao NOLO qual modelo está a responder. Ele dirá, os modelos de chat são open-weights, por isso você pode consultar exatamente o que está a rodar e julgá-lo por si mesmo. Veja o comparativo.

FAQ

Respostas diretas.

Não exatamente, e não vamos afirmá-lo. Guardamos linhas de uso pseudónimas (o seu ID anónimo, contagens de tokens, o modelo usado) por até 90 dias para que os limites e a cobrança funcionem. Nunca registamos o conteúdo das suas mensagens e nunca guardamos o seu IP às claras. "Sem logs de conteúdo, sem identidade" é exato; "zero logs" não seria.

Não. A sincronização guarda um blob encriptado na sua própria pasta de app do Google Drive. Não temos os dados nem temos uma cópia. A ressalva honesta é que a chave de encriptação deriva do seu identificador Google em vez de uma senha privada, por isso é uma proteção forte, mas não é end-to-end de conhecimento zero.

Não. A sua mensagem chega ao fornecedor, é respondida e é descartada sob os termos de zero-data-retention deles. Como não há conta, também não há nada a que eles possam associar uma mensagem.

Para aplicar limites diários, processar pagamentos e impedir abusos, o mínimo absoluto para operar um serviço sem conta. É pseudónimo e de curta duração, e você pode ver exatamente o que é acima.

Privado por design. Honesto sobre o resto.

Abra-o, observe a rede, leia o payload. Depois decida.