没有账号，是设计

承诺

在 OmniFlux 的产品里，你永远看不到"注册"或"登录"页面。没有账号要建、没有邮箱要确认、没有找回密码流程要维护、没有"删除我的数据"按钮——因为我们手里压根没有你的数据可删。

这是一个刻意的工程与产品选择，不是疏忽。原因如下。

为什么大多数应用想要账号

对大多数应用，账号是云端功能跑通的方式：你的数据在它们的数据库里，你的设置在它们的后端里，跨设备同步意味着上传到它们的服务器。账号是服务端存储的钥匙。

我们的产品没有服务端存储。模型跑在你的设备上。你的输入与输出住在你的设备上。没有可"登入"的东西。

我们放弃了什么

• 跨设备同步变难。我们用本地网络上的端到端加密 peer 同步、以及（按需开启）你早已掌控的 iCloud / Drive / Dropbox 目录来解。任何东西都不经过我们的服务器。
• 跨设备使用分析没有了。我们不知道有多少人在用某个功能，我们会用慢、诚实的方式把这个信号挣回来——读评论、聊用户、看人们在要什么。
• 登录墙后的功能没有了。我们整套产品面对一个 5 分钟前才装上 app 且没接入任何东西的用户都能用。

我们得到了什么

• 默认的信任。 不收集数据，就不会泄露、被卖、被传票，也不会被偷。
• 零账号找回支持负担。 没有密码重置，没有"我丢了邮箱"的工单，没有 SIM 卡换号诈骗。我们的客服负担更像单机游戏，而非 SaaS。
• 诚实的定价。 我们一次性卖 app。我们没有用付费用户去补贴免费用户，也不会被"免费用户不加通知就流失"的指标拉向 dark pattern。
• 长寿命的产品。 没有服务器的应用，不会因公司调整优先级而死。本地模型与本地数据库会和设备一样长寿。

同步如何工作

你启用后：

1. 在本地网络里用一次性的 6 位配对码两台设备配对（像 AirDrop 那种握手，不是 OAuth）。
2. 两台设备本地生成密钥对，握手中交换公钥。
3. 同步消息用接收方设备的公钥加密。我们的基础设施（如果作为 relay 被使用）只看到密文。
4. 你随时能在原设备的配对列表里把另一台撤销掉。

如果你愿意，你可以把任意一个云盘的目录（iCloud、OneDrive、Drive、Dropbox、自托管 WebDAV）接入，我们会把加密的同步包写进去。我们绝不索要这些服务的凭据；你指给我们一个本地目录，平台负责上传。

"那你们怎么知道该做什么？"

通过聊用户。通过读评论。通过偶尔提供明确的、按需参与的调查。通过 1996 年你会发给一位 shareware 作者的那种缓慢积累的反馈——而事实证明，那已足够做出非常好的软件。