Infinite Tabs 隐私政策
最后更新: 2026-07-17
Infinite Tabs 是一款 Chrome 扩展,用 AI 整理的工作区替换新标签页。本政策说明当前仅支持自备密钥(BYOK)版本已经实现的数据路径。当前版本没有正在运行的托管 AI 服务、订阅、结账或付款数据路径。
同意与默认状态
在 Infinite Tabs 读取或存储符合条件页面的可见内容前,首次运行界面会说明本地处理与可选云端处理,并要求用户同意。AI 云端处理默认关闭;用户选择稍后设置时仍保持关闭。
用户完成 BYOK 设置后,扩展只会对当前隐私策略允许的 HTTPS 页面启用云端处理。工作洞察的时间追踪需要单独选择加入,默认同样关闭。
这两项选择之后都可以在“设置”中修改。关闭云端处理会停止新的 AI 提供商请求;关闭工作洞察会停止新的前台时间区间记录。任何操作都无法撤回第三方提供商已经处理的信息。
Chrome 配置文件中处理的数据
根据用户启用的功能,Infinite Tabs 可能在安装扩展的 Chrome 配置文件中存储以下数据:
- 对允许页面规范化后的 URL、主机名、标题、网站图标、提取的可见文本、内容指纹、访问时间、访问次数和本地生命周期状态;
- 主题、页面与主题的成员关系、AI 生成的标签、摘要和标记、聚类置信度、用户反馈、队列状态和有界响应缓存;
- 所选 AI 提供商、模型、可选基础 URL、预算设置,以及 API 密钥经 AES-GCM 加密后的表示和安装实例本地用于解密的材料;
- 隐私预设、语言、主题、壁纸、引导流程、起始页、商业展示面和保留期限偏好;
- 用户在起始页快捷方式中明确移除的近期页面 URL 和常用网站主机名的持久列表;
- 启用工作洞察后,按页面、主题和粗粒度页面类型汇总的每日前台可见时间估算;以及
- 有界的设备本地产品诊断,例如引导、设置、AI 搜索、支持、托管 AI 状态页和赞助卡片交互的事件类型与时间戳。
标签页和窗口标识符只用于浏览器协调,不会作为长期工作洞察历史保留。无痕页面不会进入起始页快捷方式和工作洞察。
正常发布版本不会把本地工作区、已配置凭据、设置或诊断发送到 Infinite Tabs 分析服务器。
近期标签页、常用网站与默认网页搜索
新标签页可以显示少量当前打开的近期标签页和 Chrome 常用网站列表。这些候选项只在新标签页打开时从 Chrome 读取,并保存在该页面的内存 UI 状态中。常用网站图标使用 Chrome 本地网站图标能力渲染。
移除快捷方式时,扩展只会把该近期页面的精确 URL 或常用网站的主机名写入扩展本地存储,使其继续隐藏并显示下一个候选项。用户可以在当前界面中撤销移除。这些持久移除偏好会在第 1 级和第 2 级清理后保留,并在第 3 级完整重置时删除。
起始页网页搜索与工作区搜索和 AI 搜索相互独立。搜索文字通过 Chrome 的 search API 交给用户配置的默认搜索引擎。如果输入是 HTTP 或 HTTPS 地址,新标签页会直接导航到该地址。目标搜索引擎或网站按其自身条款和隐私政策处理请求。Infinite Tabs 不会把这段搜索文字发送到自己的服务器。
BYOK AI 处理
当前提供商选项包括 OpenAI、Anthropic、Gemini,以及通过 OpenAI 选项配置的 OpenAI 兼容端点。内置 DeepSeek 预设使用 DeepSeek 的 OpenAI 兼容端点。使用自定义基础 URL 时,API 密钥和相关请求会直接发送到用户选择的端点,因此用户只能配置自己信任的提供商。
当用户打开或编辑已保存连接、明确执行连接测试,以及扩展需要对提供商请求进行身份验证时,API 密钥可以在受信任的扩展上下文中临时解密。密钥不会发送给 Infinite Tabs。加密本地存储可以降低明文存储导致的意外暴露,但不能当作硬件级密码保险库。
每次 AI 提供商请求都要求用户已经完成且仍有效的页面处理同意,并已启用直接 AI 提供商访问。页面内容请求在查询缓存前以及网络发送前都会再次经过当前隐私闸门:
- 连接测试: 只有用户明确点击测试连接时,才会向所选模型发送非常短的
ping请求。首次设置本身不会请求提供商;设置完成后,也只有在直接 AI 提供商访问保持启用时才能在设置中测试已保存连接。离开密钥输入框、输入框失焦或保存已测试过的连接都不会发起网络请求。 - 页面增强: 发送允许页面的标题、经过长度限制的可见文本语义摘录,以及只包含来源和路径的 HTTPS URL 表示;查询字符串和片段会被省略。
- 主题聚类: 发送经过长度限制的页面标签、摘要、标记和把页面归组所需的相关既有主题上下文。
- 询问 AI: 发送用户的 AI 搜索问题,以及一个紧凑的结构化上下文,其中最多包含四个相关主题、每个主题最多三个来源。上下文可以包含主题或页面标题、摘要、标记和来源主机名。询问 AI 不会发送完整本地工作区或工作洞察汇总。
模型回答和 AI 派生元数据直接返回扩展并保存在本地。精确请求缓存有容量限制:页面增强派生文本最多保留 30 天,自动聚类最多 24 小时,询问 AI 最多 10 分钟;隐私配置变更或执行第 1 级清理时会清除这些缓存。
提供商依据其自身条款和隐私政策接收和处理这些请求。用户负责自己的密钥产生的提供商费用及账号要求。
隐私预设、隔离与失败时关闭
首次运行和设置 → 隐私界面提供以下预设:
- 保守: 阻止全部内置敏感网站类别。
- 均衡: 阻止选定的邮件、银行和支付网站。
- 最低过滤: 关闭全部内置敏感网站类别阻止,因此允许最广泛的合格 HTTPS 页面范围。
内置列表覆盖部分邮件、银行、支付和健康门户主机,但不是对敏感网站的完整分类;当前版本也不提供自定义主机规则编辑器。用户应在启用提供商前检查预设,谨慎使用时优先选择“保守”,并在浏览内置列表未覆盖的敏感服务前关闭云端 AI。
当隐私变更新增阻止某个已存页面时,Infinite Tabs 会删除该页面提取的正文、增强信息、判断、主题成员关系、相关工作洞察行和缓存 AI 上下文。它可以保留隐私安全的本地元数据,例如规范化 URL、从 URL 得到的标题、网站图标、访问或生命周期状态和 isolated 标记,以便解释发生了什么并避免再次静默处理。可能从已阻止内容派生的 AI 主题元数据会与之后的云端上下文隔离,直至根据安全页面重新构建。旧隐私策略版本下正在执行的工作会被阻止写入过期结果。
工作洞察
只有用户单独明确选择加入后,工作洞察追踪才会开始。启用后,它只在允许的 HTTPS 页面是聚焦 Chrome 窗口中的活动标签页时估算时间。切换标签页、导航、关闭标签页或 Chrome 失去焦点都会结束当前区间。
扩展会存储每日汇总、会话次数以及首次和最后活动时间,不会在这些汇总中保留永久原始活动事件流、按键、指针移动、滚动历史或标签页与窗口标识符。粗粒度页面类型根据页面主机和路径在本地推导。图表和趋势摘要在本地计算,不会加入 AI 提供商请求。
这些数值估算的是前台可见时间,不代表注意力、阅读、生产力或真人是否在场。浏览器挂起、设备休眠、检查点时间和短暂标签页切换都可能影响估算。
本地产品诊断
发布版本会保留有界的本地事件列表,用于解释设置和可选商业展示面的行为。事件可以包含事件类型、时间戳、所选提供商类别或隐私预设、设置来源、UI 位置、赞助项目标识符和粗粒度反馈原因。它们不包含页面文本、AI 问题或回答、完整浏览 URL 或 API 密钥。扩展最多保留 200 条激活事件和 100 条商业展示面事件;用户可以在设置中查看、导出或清除这些诊断,扩展不会上传它们。
明确标记为仅开发用途的构建可以额外向开发者自己机器上的 127.0.0.1:17392 收集器发送经过删减且位于允许列表中的诊断。Chrome 应用商店发布版本不包含该本地收集器权限。仓库本地开发日志不属于扩展存储,由本地开发环境管理。
内置赞助、支持与托管 AI 状态展示面
当活动工作区可以显示赞助推荐时,扩展可能请求 https://toolgrid.help/infinite-tabs/sponsored.json 的小型 JSON feed。请求会自然地向网站主机暴露普通网络元数据,例如用户 IP 地址和 User-Agent,但不包含页面内容、工作区状态、AI 问题、API 密钥或扩展诊断。响应被当作数据而不是可执行代码处理;它受模式和大小限制,并且链接显示前会经过固定 HTTPS 目标允许列表检查。所选 feed、单项隐藏和交互事件仍保存在本地。当前公开 feed 的 picks 数组为空,因此不会提供任何赞助项目。
自助支持、托管 AI 状态和经过审核的赞助推荐位置内置在默认体验中,没有全局可见性开关。用户可以把单个赞助项目标记为不相关,使其退出本地轮换并显示下一个候选项。打开赞助链接时会在目标 URL 上添加透明的活动或位置标识符。打开支持或托管 AI 状态链接时,也可能添加位置来源,然后离开扩展。目标网站按其自身政策处理该次访问。
托管 AI 暂不可用。其状态页不收集登记、邮箱地址、产品意向或反馈,也不提供托管模型、结账、付款路径或权益。公开的支持页面提供自助资料和一个可选的公开邮箱,但不提供网页表单。
如需产品支持,或要提出隐私、条款问题和其他反馈,用户可以自愿发送邮件至 infinite-tabs@outlook.com。参与投递的邮箱服务商会处理发件人与收件人地址、邮件标头、正文、附件以及路由、安全和投递所需的元数据。开发者只会收到用户自愿选择发送的信息。扩展不会自动附加或上传工作区数据、诊断、浏览历史、页面内容、AI 问题或回答、API 密钥。请勿发送 API 密钥、私密页面内容、完整浏览 URL、完整浏览历史、未经检查的诊断导出或其他敏感信息。不保证响应时间、一对一回复或任何服务等级。
保留与删除
设置 → 隐私 → 数据清理为当前 Chrome 配置文件提供三个需要分别确认的级别:
- 第 1 级——轻量清理: 永久删除全部可重新生成的 AI 缓存、缓存的赞助 feed、过期终态任务或决策、符合清理条件的非活动页面正文,以及超过 90 天的工作洞察行。它保留工作区、当前工作洞察、API 密钥材料、设置、诊断和起始页移除偏好。
- 第 2 级——工作区重置: 永久删除页面、主题、增强信息、成员关系、任务、决策、AI 缓存、工作洞察和本地交互诊断。它保留 API 密钥和安装材料、隐私、预算、抓取、语言或外观、引导、商业展示面和起始页移除偏好。仍在 Chrome 中打开的合格页面可能根据这些保留设置被再次处理。
- 第 3 级——完整重置: 清除扩展 IndexedDB 中的全部记录和 Chrome 本地存储值,包括 API 密钥材料、诊断、移除列表和用户设置。扩展只会重新创建新的隐私栅栏和隐私安全默认值,并返回首次运行设置。
其他有界生命周期规则包括:
- 已完成流水线任务计划在 7 天后删除;
- 与页面关联的失败或已阻止任务在最后一个匹配标签页关闭后删除,其他终态失败计划在 30 天后删除;
- 已关闭且未固定的页面在 7 天后离开主工作区并保留在本地历史中;
- 没有符合条件交互的主题在 30 天后移至本地“暂时收起”视图,除非它包含受保护工作或已标记为“始终保留”;
- 已关闭且未固定页面的提取正文在 30 天无活动后清除;以及
- 工作洞察每日汇总在 90 天后删除。
自动生命周期变更会保留轻量页面或主题元数据,使其仍可恢复。归档或删除控件以及第 2、3 级清理用于有意执行更广泛的删除。卸载扩展会指示 Chrome 删除当前配置文件中的扩展本地存储。
删除无法移除 BYOK 提供商已经处理或保留的数据、其他 Chrome 配置文件或设备中的数据、目标网站日志或仓库开发者日志。
Chrome 应用商店“有限使用”与数据共享
Infinite Tabs 仅使用 Chrome 用户数据来提供或改进扩展明显面向用户的工作区、搜索、隐私、可靠性和本地诊断功能。对通过 Google API 获得的信息的使用和传输遵守 Chrome Web Store User Data Policy 及其“有限使用”要求。
Infinite Tabs 不出售用户数据,也不将用户数据用于或传输给个性化广告、信用评估、贷款或与扩展单一用途无关的目的,不向数据经纪商传输数据。当前版本的内容传输包括:用户指示的 BYOK 请求直接发送至已配置 AI 提供商或端点,上文说明的普通浏览器导航和可选网站或 feed 请求,以及用户通过上述邮箱服务商自愿发送的支持邮件。
安全、儿童与变更
扩展使用 Manifest V3,将可执行代码随扩展一起打包,不下载或执行远程代码。任何保护措施都无法让本地存储、第三方提供商或网络传输完全无风险。用户应保护自己的 Chrome 配置文件;如果怀疑提供商密钥已经暴露,应立即撤销。
Infinite Tabs 是通用生产力工具,不面向 13 岁以下儿童。已经实现的数据路径如发生重大变化,会在发布前反映到本政策中。
当前隐私和产品支持信息请查看公开的 Infinite Tabs 支持页面。该页面提供自助资料和上述可选邮箱;邮件不保证响应时间、一对一回复或任何服务等级。

