【تنبيه مهم】بعد إجراء تحليل عكسي لتطبيق إدخال الصوت «Typeless» تبيّن وجود مخاطر خصوصية خطيرة للغاية، لذا أشارك ذلك هنا.
■ الخلاصة أولًا
يدّعي Typeless «On-device history» و«Zero data retention»، لكن في الواقع يتم إرسال جميع بيانات الصوت إلى خوادم AWS (الولايات المتحدة، أوهايو) للمعالجة. لا يوجد أي نموذج للتعرّف على الكلام محليًا.
لو كان الأمر كذلك فقط، لكان مجرد «خدمة STT سحابية» عادية. المشكلة أن نطاق البيانات غير الصوتية التي يجمعها واسع جدًا.
■ ما التحليلات التي أُجريت
على macOS، أُجري تحليل ثنائي (Binary) لـ Typeless v0.9.3، وتحليل لاتصالات الشبكة، وتحليل لقاعدة البيانات المحلية، بالإضافة إلى تحليل سلاسل النصوص في المكتبات الأصلية.
■ حقائق تم التأكد منها
- معالجة الصوت 100% سحابية
لا توجد داخل التطبيق نماذج STT مثل Whisper. يتم ضغط الصوت إلى Opus ثم يُرسل عبر WebSocket (wss://api.typeless.com/ws/rt_voice_flow) في الوقت الحقيقي إلى خوادم AWS us-east-2.
http://api.typeless.com → http://prod-typeless-lb-565501648.us-east-2.elb.amazonaws.com
وتذكر سياسة الخصوصية الرسمية أيضًا عبارة “processed in real time on our cloud servers”، لذا فهذا ليس تزويرًا بالكامل، لكن تسويق “On-device” ينحصر عمليًا في “تخزين السجل محليًا” وهو مضلّل جدًا.
- جمع بيانات واسعة النطاق إلى جانب الصوت
من خلال تحليل قاعدة بيانات SQLite المحلية والمكتبات الأصلية، تم التأكد من جمع البيانات التالية:
・ عنوان URL الكامل للمواقع التي يتم تصفحها (ويتم تسجيل Gmail وGoogle Docs وغيرها أيضًا)
・ اسم التطبيق محل التركيز الحالي، وعنوان النافذة
・ النصوص الظاهرة على الشاشة (عبر API تسهيلات الاستخدام، تُجمع تكراريًا بواسطة دالة collectVisibleTexts)
・ قراءة/كتابة الحافظة (يمكنه التعامل مع TransientType في مدير كلمات المرور)
・ مراقبة إدخال لوحة المفاتيح على مستوى النظام عبر CGEventTap
・ معلومات عناصر DOM في المتصفح (يدعم Safari وChrome وEdge وFirefox وBrave)
・ محتوى النص الذي عدّله المستخدم ( TrackEditTextService → sendTrackResultToServer )
-
تخزين معلومات شخصية محليًا بنص صريح في قاعدة البيانات
فيtypeless.dbيتم حفظ نص نتائج التعرف على الصوت، وروابط التصفح، ومعلومات التطبيقات كنص صريح. رغم ادّعاء “Zero data retention”، إلا أن كل شيء محفوظ محليًا. كما أن ملفات الصوت (.ogg) لا تُحذف بل تبقى متبقية. -
طلب أذونات مفرطة
باعتباره أداة إدخال صوتي، فبالإضافة إلى الميكروفون يطلب أذونات تسجيل الشاشة، والكاميرا، والبلوتوث، وتسهيلات الاستخدام، كما يحتوي على ميزة مدمجة لالتقاط لقطات شاشة. -
شفافية الشركة شبه معدومة
・ الشروط وسياسة الخصوصية لا تذكر اسم الكيان القانوني
・ الموقع مذكور فقط كـ “مقاطعة سان فرانسيسكو، كاليفورنيا” (جهة الاختصاص في الشروط)
・ WHOIS مخفي (GoDaddy + Cloudflare)
・ لا توجد معلومات تدقيق أمني مثل SOC2 أو ISO27001
・ وسيلة التواصل الوحيدة هيhello@typeless.com
■ أدلة تقنية (قابلة لإعادة الإنتاج)
يمكنك التحقق بنفسك عبر الأوامر التالية:
# هدف اتصالات الشبكة
nslookup http://api.typeless.com
# عنوان API داخل app.asar
strings /Applications/Typeless.app/Contents/Resources/app.asar | grep "http://api.typeless.com"
# بروتوكول اتصال WebSocket
strings /Applications/Typeless.app/Contents/Resources/app.asar | grep "rt_voice_flow"
# مكتبة أصلية لمراقبة لوحة المفاتيح
strings /Applications/Typeless.app/Contents/Resources/lib/keyboard-helper/build/libKeyboardHelper.dylib | grep -i "key pressed"
# جمع نصوص الشاشة
strings /Applications/Typeless.app/Contents/Resources/lib/context-helper/build/libContextHelper.dylib | grep -i "collectVisibleTexts"
# محتوى قاعدة البيانات المحلية
sqlite3 ~/Library/Application\ Support/Typeless/typeless.db ".schema history"
■ أين تكمن المشكلة
CGEventTap (مراقبة لوحة المفاتيح) + API تسهيلات الاستخدام (جمع نصوص الشاشة) + الوصول إلى الحافظة. هذا المزيج يملك تقنيًا قدرة مكافئة لمسجّل ضغطات المفاتيح (Keylogger).
وأنت تمنح هذه الأذونات لخدمة لا يُعرف بوضوح من يديرها.
لتحسين دقة الإدخال الصوتي، فإن الحصول على السياق (معلومات التطبيق الحالي/حقل الإدخال) تصميم منطقي بحد ذاته. لكن عندما تُرسل هذه البيانات إلى السحابة، تصبح موثوقية الجهة المشغلة ونظامها الأمني أمرًا حاسمًا. ما إذا كان يمكن الوثوق بشركة لا تكشف حتى اسم كيانها القانوني، فذلك متروك لتقديرك.
■ بدائل
توجد أدوات إدخال صوتي تعمل محليًا بالكامل:
・ Whisper.cpp / MLX Whisper (مفتوح المصدر، محلي بالكامل، مجاني)
・ الإملاء الصوتي المدمج في macOS (على Apple Silicon تتم المعالجة على الجهاز)
・ Superwhisper (مبني على Whisper، موجّه للـ Mac، لكن ما يزال يلزم التحقق بنفسك)
■ الخلاصة
・ التعرف على الصوت في Typeless سحابي 100% (لا نموذج محلي)
・ إلى جانب الصوت، لديه الأساس التقني لجمع نصوص الشاشة وURL وإدخال لوحة المفاتيح
・ الجهة المشغلة غير شفافة (لا تُعلن اسم الكيان القانوني ولا الموقع)
・ لا توجد أدلة على تدقيق أمني
من يستخدمه حاليًا، فليحكم بنفسه بعد فهم المخاطر. وعلى الأقل يُنصح باستخدام أدوات مثل Little Snitch لمراقبة اتصالات الشبكة.