O que é realmente privado, e o que não é.
A maioria dos apps diz "respeitamos a sua privacidade" e para por aí. Aqui está o quadro completo: o que sai do seu dispositivo, quem recebe, o que guardamos e onde estão os limites honestos. Sem palavras de marketing que você não pode verificar.
O que sai do seu dispositivo, por ação.
Uma IA que roda no seu navegador ainda precisa enviar algumas coisas para responder a você. Aqui está exatamente o quê, e para quem, em cada coisa que o NOLO pode fazer.
Se você nunca ativar a sincronização e nunca usar uma ferramenta, a única coisa que alguma vez sai do seu dispositivo é a mensagem que você envia para obter uma resposta.
O que os próprios servidores do NOLO guardam.
Guardamos um pouco, sim, e preferimos dizer exatamente o quê em vez de fingir que é zero. É pseudónimo: ligado ao seu ID anónimo, nunca a um nome, e-mail ou IP real, e nunca ao conteúdo dos seus chats.
Registo de uso por mensagem
Para cada mensagem guardamos uma pequena linha: o seu ID anónimo, o tipo de mensagem, qual modelo respondeu, a contagem de tokens e o seu plano. É assim que os limites diários e a cobrança funcionam. Nunca guardamos o texto das suas mensagens nem as respostas.
O seu IP só é usado como um hash unidirecional com salt para impedir abusos, e esse bucket é apagado dentro de uma semana. Não pode ser revertido para o seu endereço.
Onde os limites realmente estão.
Qualquer um pode dizer "totalmente privado". Estes são os pontos onde o NOLO não é, ditos com clareza para que você decida por si mesmo.
O seu histórico está no seu dispositivo, mas não está encriptado em repouso
Os chats são guardados no armazenamento local do seu navegador, em texto simples. Isso mantém-nos fora dos nossos servidores, mas também significa que qualquer pessoa com acesso ao seu dispositivo desbloqueado poderia abri-los. Se isso lhe importa, use um código de bloqueio no dispositivo e limpe o NOLO quando terminar.
A sincronização com o Drive é encriptada, mas não é verdadeiramente end-to-end
Quando você ativa a sincronização, os seus chats são encriptados antes de chegarem ao seu Google Drive. Mas a chave deriva do identificador da sua conta Google, não de uma senha que só você conhece, por isso é uma ofuscação forte, e não uma encriptação de conhecimento zero. Encare isto como "muito melhor do que texto simples", não como "matematicamente impossível para qualquer um".
A geração de imagens usa um modelo proprietário de terceiros
Os modelos de chat são open-weights e nós os nomeamos. A geração de imagens é a exceção: roda no modelo proprietário de um fornecedor terceiro. O prompt continua a passar pelo nosso servidor sem a sua identidade, mas é justo saber que essa capacidade não é open-weights.
Verifique você mesmo em dois minutos.
Você não precisa acreditar na nossa palavra sobre nada disto. O navegador já lhe dá as ferramentas para observar o que o NOLO faz.
Abra o painel de rede
No NOLO, pressione F12 e abra a aba Network e depois envie uma mensagem. Você verá os pedidos irem para a própria API do NOLO e para mais nenhum lugar, sem redes de anúncios, sem rastreadores de análise, sem perfiladores de terceiros.
Limpe o armazenamento
No mesmo painel, abra Application → Armazenamento e limpe-o. Os seus chats desaparecem, porque é o único lugar onde vivem. Não há cópia no servidor para apagar.
Verifique o que foi enviado
Clique em qualquer pedido para /api/chat e leia o payload. Não há e-mail, não há nome, não há token de login, apenas o seu ID anónimo e a mensagem que você escolheu enviar.
Identifique o modelo
Pergunte ao NOLO qual modelo está a responder. Ele dirá, os modelos de chat são open-weights, por isso você pode consultar exatamente o que está a rodar e julgá-lo por si mesmo. Veja o comparativo.
Respostas diretas.
Não exatamente, e não vamos afirmá-lo. Guardamos linhas de uso pseudónimas (o seu ID anónimo, contagens de tokens, o modelo usado) por até 90 dias para que os limites e a cobrança funcionem. Nunca registamos o conteúdo das suas mensagens e nunca guardamos o seu IP às claras. "Sem logs de conteúdo, sem identidade" é exato; "zero logs" não seria.
Não. A sincronização guarda um blob encriptado na sua própria pasta de app do Google Drive. Não temos os dados nem temos uma cópia. A ressalva honesta é que a chave de encriptação deriva do seu identificador Google em vez de uma senha privada, por isso é uma proteção forte, mas não é end-to-end de conhecimento zero.
Não. A sua mensagem chega ao fornecedor, é respondida e é descartada sob os termos de zero-data-retention deles. Como não há conta, também não há nada a que eles possam associar uma mensagem.
Para aplicar limites diários, processar pagamentos e impedir abusos, o mínimo absoluto para operar um serviço sem conta. É pseudónimo e de curta duração, e você pode ver exatamente o que é acima.
Privado por design. Honesto sobre o resto.
Abra-o, observe a rede, leia o payload. Depois decida.