版本:v0.1 · 更新时间:2026-06-24
| 数据类型 | 存储位置 | 存储格式 | 可删除性 |
|---|---|---|---|
| DeepSeek API Key | chrome.storage.local |
明文 | 随时可删 |
| 应用设置(模型选择等) | chrome.storage.local |
JSON | 随时可删 |
| 观察列表(手工添加的股票) | chrome.storage.local |
JSON | 随时清空 |
| AI 研究卡片 | chrome.storage.local |
JSON | 随时清空 |
| 措施 | 说明 |
|---|---|
| 仅本地 | Key 只存在于 chrome.storage.local,不发送给插件作者或任何第三方 |
| HTTPS 传输 | 调用 DeepSeek API 时使用 HTTPS 加密传输 |
| 掩码显示 | UI 中仅显示 sk-xxxx...xxxx 格式的掩码 |
| 不写入日志 | 不在错误消息、日志、控制台输出中打印完整 Key |
| 不存入卡片 | ResearchCard 内容不含 API Key |
chrome.storage.local 以明文存储 Key,建议启用系统磁盘加密(FileVault / BitLocker)https://api.deepseek.com 官方端点,防止 Key 泄露到仿冒端点| 目的 | 目标 | 发送内容 | 触发条件 |
|---|---|---|---|
| 行情查询 | qt.gtimg.cn |
股票代码(如 sh600519) |
添加股票到观察列表 / 手动刷新 |
| AI 连接测试 | api.deepseek.com |
最小测试提示词(~5 tokens) | Options 页面点击「测试连接」 |
| AI 研究卡片 | api.deepseek.com |
页面上下文(截断至 4000 字符)+ 股票信息 + 用户备注 | 仅在用户显式确认后 |
生成研究卡片前,必须经过用户显式确认。确认面板展示:
用户点击「确认发送」后,内容才通过 HTTPS 传输到 DeepSeek API。用户可随时点击「取消」放弃本次请求——此时没有任何数据离开本地。
| 权限 | 用途 | 风险 |
|---|---|---|
storage |
本地存储 API Key、设置、观察列表、研究卡片 | 低(纯本地) |
host: qt.gtimg.cn |
腾讯财经公开行情 API | 低(公开接口,仅查询代码) |
host: api.deepseek.com |
DeepSeek AI API | 中(传输页面内容,需用户确认) |
content_scripts: <all_urls> |
页面文本提取(股票识别 + 上下文) | 中(Known Privacy Debt) |
content_scripts.matches: ["<all_urls>"] 使 content script 在所有网页加载。
减轻措施:
GET_PAGE_STOCK_CANDIDATES / EXTRACT_PAGE_CONTEXT),不做被动扫描chrome.storage,不访问网络未来方向:考虑 activeTab 权限 + 用户主动触发。
qt.gtimg.cn)获取行情数据。
该接口未经腾讯授权,可能随时变更或失效。
| 风险 | 说明 |
|---|---|
| 无官方 SLA | 公开接口未经腾讯授权,可能随时变更或失效 |
| 延迟数据 | 可能为延迟数据(非实时),不应用于交易决策 |
| 数据准确性 | 不保证价格/涨跌幅的准确性 |
| IP 封锁 | 高频请求可能导致 IP 被限流 |