隐私优先的 VPN

我们记录域名。
不记录人生。

无 URL。无页面内容。无 Cookie。无指纹。无姓名、邮箱、信用卡。四个数据点,每一个都在下面公开 —— 以及它们为什么在那里。

无需账户

承诺

没有营销宣传。只有源列表。

大多数 "无日志" VPN 都做出强有力的声明,然后要你相信。这是这个类别的标准 —— 而审计真正进行时,大多数都会发现比宣传中更多的保留是有原因的。

Piligrim 不承诺完美的零。我们准确告诉你我们收集什么,为什么每一片对产品运作来说是必要的,以及我们故意省略什么。如果这个列表上的任何东西改变,会是一次公开的提交和隐私政策的版本升级。

我们收集什么

完整列表。四项。

01

匿名安装 ID

为什么我们存储: 在你第一次安装时在你的设备上生成。用作钱包账本(免费配额余额、赚取的步、广告浏览凭证)的密钥。没有真实身份附加或可以恢复。

我们故意省略什么: 在同一台机器上卸载并重新安装,会用这个密钥恢复钱包。不重装而卸载,则永久撤销我们拥有的一切。

02

国家代码(ISO-3166)

为什么我们存储: 在安装时和每 24 小时,通过 ipapi.co 从你的真实 IP 检测。用于公平设定广告费率 —— 第一层国家每个广告比第四层赚取更多流量。

我们故意省略什么: 国家是单个两字母代码(例如 "DE"),不是城市、地区或 ISP。查询绕过你的活动代理,所以它始终反映你的真实位置,从不是你选择的出口。

03

裸域名

为什么我们存储: VPN 开启时,扩展把你访问的每个页面与我们的广告网络规则集(26 个网络)匹配。为了那个匹配,我们存储可注册的域名 —— 例如 "example.com" —— 而不是 URL、路径或查询字符串。

我们故意省略什么: 没有 URL,没有参数,没有内容,没有 Cookie,没有表单数据,没有锚点,没有标题。只有域名根。服务器以批次看到这些,不与你的浏览节奏单独关联。

04

广告浏览事件

为什么我们存储: 当我们替换的广告真正在屏幕上可见(视口中 ≥50%,持续 ≥1 秒)时,扩展用你的 ECDSA P-256 安装密钥签名一份报告并 POST。该凭证向钱包加流量并向我们证明该次曝光没有被伪造。

我们故意省略什么: 凭证记录:广告位 ID、格式、你的安装 ID、时间戳。不是页面 URL,不是页面内容,不是广告周围的用户行为。

我们不收集什么

凭证上缺席的东西。

  • 页面 URL、查询参数、路径、锚点
  • 页面内容、标题、表单数据、Cookie
  • 浏览节奏或会话时间线
  • 姓名、邮箱、电话、支付、账户
  • 跨站行为画像
  • 设备指纹(canvas、WebGL、字体)
  • IP 到身份的链接(我们从不把你的 IP 与用户关联)
  • 广告技术标识符、MAID、IDFA、Cookie 同步
  • 高级新闻屏蔽列表上的任何东西
  • 广告网络自有域名列表上的任何东西

收入路径,从头到尾

我们如何赚钱,90 秒看完。

Piligrim 是由广告替换资助的免费 VPN。扩展开启时,我们的内容脚本识别你访问页面上的少量展示广告位(每页最多 3 个),并把它们换成由我们广告服务器提供的自家创意。

广告商按可视曝光向我们付费。我们和你分这笔收入:你真正看到的每个广告都会向钱包加流量,流量买入高级住宅 VPN 流量。其余支付代理带宽、托管和现金跑道。

这就是模型的全部。没有升级,没有高级层,没有 "pro 功能" 的等候名单,没有数据中介,没有卖给第三方的订阅者列表。

高级新闻发行商和广告网络自有域名从不被修改 —— 在扩展中硬编码,不由我们切换。屏蔽列表在我们的隐私政策中可审计。

强制执行的隐私,而非承诺

架构,而非政策。

最强的隐私保证是我们即使想破也破不掉的那些。这里有五个我们在代码中交付的。

ECDSA 签名的曝光报告

每张广告浏览凭证都由一个在安装时在你设备上生成、永远不离开它的 P-256 私钥签名。服务器以加密方式验证每个声明 —— 机器人不能伪造凭证来耗尽我们的预算,我们也不能伪造归属于你的凭证。

沙箱化的创意 iframe

替换广告加载在带有严格沙箱的 chrome-extension:// iframe 中。它们不能读取 Cookie、访问父页面或设置跟踪像素 —— 它们在结构上无法对你进行指纹识别。

MV3 declarativeNetRequest(无流量拦截)

我们通过声明式规则封锁第三方广告网络请求,而不是在后台脚本中拦截流量。浏览器执行规则;我们从不看到你请求的主体。

国家查询绕过你的活动代理

检查你的国家代码时,请求经过你的真实 IP —— 不是你选的圣所。这意味着我们始终知道你的真实国家(以便支付公平的费率),但故意从不知道你的活动代理在哪个国家。

没有跨站会话连续性

凭证以批次发送到我们的广告服务器。我们不把浏览与行为时间线关联 —— 没有 "安装 ID 为 X 的用户访问了域名 A,然后是 B,然后是 C" 这种图。只有按域名计数。

什么时候不要用 Piligrim

Piligrim 是一条路,不是要塞。

如果你的威胁模型包括国家级对手 —— 威权政权下的新闻业、举报、规避定向监控 —— Piligrim 是错的工具。我们是开放网络的休闲用免费 VPN。我们不自己运营代理基础设施(我们从 Webshare 租),不运行像 Tor 那样的强化匿名跳点,也不假装运行。

使用为此目的构建的付费商业 VPN,或者 Tor,或者两者都用。Piligrim 是为不是生死攸关的数百万种情况服务的 —— 把广告网络挡在你头脑之外,看别处的内容,获得不需要每年四十美元的隐私(你没那笔钱)。

怀疑者 FAQ

尖锐的问题。直接的回答。

为什么我应该相信一个由广告资助的 VPN?
你不应该仅仅根据营销宣传相信任何 VPN。读读我们的架构:隐私保证在代码中强制执行(沙箱化创意、签名凭证、MV3 声明式封锁、绕过我们自己代理的国家查询) —— 不是在隐私政策的段落中。如果模型让我们作弊,政策就不重要了。我们把模型设计成作弊路径被关闭。
执法部门能拿到我的数据吗?
我们可以交出我们拥有的,也就是上面列出的四项:安装 ID、国家代码、VPN 开启时访问的裸域名、签名的广告浏览事件。我们没有 URL、内容、身份、支付或行为时间线 —— 因为我们从未收集过。传票无法产出不存在的数据。
谁拥有这家公司?
Piligrim 由一家在英属维尔京群岛注册的公司运营。完整的公司细节——注册号、注册办公室、联系方式——列在服务条款中。产品是有意闭源的:我们认为自由分发的、由广告资助的 VPN 是克隆的严肃目标,我们不想让那变得简单。
你们的管辖区在哪里?
运营实体:英属维尔京群岛。服务器(代理网络):从 Webshare 租用,多区域。广告服务器和钱包账本:瑞士(伯尔尼)。我们对外国法律请求的管辖回应首先受到 BVI 法律的约束。
独立的隐私审计呢?
还没有。审计昂贵(可信公司通常 4 万–10 万美元),我们还没达到证明这笔支出合理的安装量。当我们达到时,审计和审计员的发现将公开。在此之前:读我们描述的代码路径和隐私政策,自己判断架构是否可信。
你们能悄悄改变隐私政策吗?
不能。政策变更会在下次打开时在扩展弹窗中显示通知,并清晰总结改了什么。在新政策应用前你会被要求重新同意;拒绝会让你停留在之前的版本直到卸载。
坑在哪里?
你在浏览时会看到几个被替换的展示广告 —— 你本来就会看到的同样数量,只是它们资助你的 VPN 而非广告网络。这就是全部交易。

可以验证的隐私,而不只是信任。

一键安装。我们了解你的凭证就在这一页。