首页 / 数据状态 / 账户连接安全
账户连接安全
账户连接与数据安全说明
账户模式必须先讲清权限边界:第一阶段只读,不下单,不托管资产,账户数据只用于持仓风险分析和市场暴露解释。
第一阶段权限边界
这些规则会贯穿连接中心、持仓风险、播报和用户系统页面。
- 第一阶段只读:账户连接只用于读取账户、持仓、成交记录和风险暴露,不支持下单、撤单、改单、融资融券或资金转出。
- 不托管资产:AGIPOT 不保存券商登录密码,不接收用户资金,也不作为证券经纪商或投资顾问。
- 人工确认优先:任何止损提醒、风险提示、AI 观察和播报都必须回到券商客户端或交易所公告核验。
- 连接失败不补假数据:同步失败时页面显示失败源、失败时间和影响范围,不用旧数据伪装成最新账户状态。
会读取哪些数据
每类数据都必须有用途说明,不能让用户猜平台拿了什么。
| 数据类型 | 可能包含 | 用途 |
|---|---|---|
| 账户基本信息 | 账户名称、市场、货币、只读连接状态 | 用于区分不同用户和不同账户的持仓视图 |
| 持仓 | 股票代码、数量、成本、市场、账户归属 | 用于风险线、行业暴露、财报暴露和组合风险面板 |
| 交易记录 | 成交代码、方向、数量、价格、成交时间 | 用于复盘、截图导入校验和盈亏归因 |
| 提醒偏好 | 播报语言、通知、刷新频率、风险优先级 | 用于按用户自己的偏好展示和播报 |
| API Token | 仅保存连接所需的加密 token 或配置状态 | 用于只读同步;用户可随时断开或重授权 |
用户最关心的问题
- 连接哪家券商:第一阶段以 Polygon API Key、Interactive Brokers 只读连接、手动账户和截图导入为主,后续每家券商单独标注权限。
- 是否保存 token:生产环境必须加密保存;本地开发环境只用于测试,不应写入真实券商密码。
- AI 是否读取账户数据:默认只向 AI 提供摘要化风险数据、股票代码和市场暴露;不向第三方 AI 提供券商密码、完整 token 或可转移资金信息。
- 是否能随时断开:用户可以在连接中心解除绑定;断开后停止同步,页面显示 never_synced 或 disconnected。
- 删除账号后怎么办:生产版必须支持删除用户资料、持仓、提醒和导入记录,并保留必要的安全审计日志。
- 只读权限如何证明:每个连接卡必须展示权限范围、同步状态、最近同步时间和是否允许交易执行。
异常处理规则
- 如果连接异常,先停止同步并标注影响账户,不触发自动播报或自动交易。
- 如果 token 失效,只显示重新授权,不把旧账户状态当成最新持仓。
- 如果用户手动录入和券商同步冲突,显示冲突并要求用户确认,不能静默覆盖。
- 如果数据被用于 AI 解释,页面必须说明输入范围和不构成投资建议。
页面必须展示的字段
后续每个真实券商连接都要按这个最低标准展示。
权限范围
最近同步时间
同步状态
是否允许交易执行
断开连接入口
重新授权入口
数据使用范围
删除数据说明