Конфиденциальность
в одну страницу

Bzz — keyboard hook utility. Она видит каждое нажатие клавиши на вашем Mac. Эта страница объясняет, что Bzz с этим делает и чего НЕ делает.

TL;DR: Bzz не имеет HTTP-клиента и не может отправить ваш ввод никуда. Все данные хранятся локально. Это можно проверить — исходный код открыт на GitHub.

Что Bzz обрабатывает

Bzz через системный API macOS (CGEventTap) получает события нажатия клавиш в реальном времени. Эти события используются исключительно для:

  • Накопления символов в буфер слова (память процесса)
  • Сравнения накопленного слова со встроенным русским словарём (98K слов)
  • Если найдено совпадение в неправильной раскладке — отправки backspace и нового текста через тот же системный API

Никакие события не сохраняются на диск, никуда не отправляются по сети, не агрегируются и не логируются за пределами текущего вычисления.

Что Bzz НЕ делает

  • Не имеет сетевого клиента. Исходный код можно проверить: grep -r "net/http\|net.Dial" *.go в репозитории — пусто
  • Не отправляет телеметрию. Нет аналитики, нет отчётов о падениях
  • Не проверяет обновления. Новые версии вы скачиваете вручную с GitHub
  • Не хранит логи ввода. Слова не записываются на диск
  • Не использует буфер обмена кроме момента Cmd+Shift+X (ручная конверсия выделения) — и тогда буфер мгновенно восстанавливается в исходное состояние
  • Не требует регистрации/аккаунта

Какие локальные файлы создаёт Bzz

Bzz хранит в ~/Library/Application Support/Bzz/ два файла:

  • config.yaml — ваши настройки: какие приложения исключены, минимальная длина слова, и т.д. Только эти параметры, никакого ввода
  • exceptions.json — слова, которые вы откатили через Cmd+Z в конкретных приложениях. Bzz запоминает: "не трогай 'config' в IDE", "не трогай 'OpenAI' в Slack". Можно очистить командой bzz --clear-exceptions

Лог запуска пишется в /tmp/bzz.log — там только сообщения о старте и применённых заменах (без полного текста ввода).

Что Bzz отображает в системе

Bzz запрашивает у macOS:

  • Accessibility permission — обязательно для перехвата клавиатуры. Это видно в System Settings → Privacy & Security → Accessibility
  • Bundle ID активного приложения — через NSWorkspace. Используется только для применения per-app исключений

Это всё. Bzz не запрашивает доступ к контактам, фотографиям, камере, микрофону, диску, документам.

Что произойдёт когда в будущем появится Pro

Пока (v0.3) Bzz полностью free, никаких платежей. Когда появится Pro версия, валидация лицензии будет:

  • Полностью оффлайн — на основе криптографической подписи Ed25519
  • Без отправки запросов на сервер при каждом запуске
  • Файл лицензии будет храниться локально в той же папке ~/Library/Application Support/Bzz/

То же положение справедливо для будущей опциональной iCloud-синхронизации настроек — это будет включаться явно пользователем и использует штатный API Apple (никаких наших серверов).

Открытый код = проверяемость

Bzz распространяется под лицензией MIT. Полный исходный код находится на GitHub. Любой человек может:

  • Прочитать код самостоятельно
  • Запустить grep по сетевым API: grep -rE "net/http|net.Dial|url.Parse" *.go — пусто
  • Собрать свой бинарник из исходников
  • Нанять стороннего аудитора

Это принципиальное отличие от закрытых конкурентов — там приходится верить разработчику на слово.

Notarization Apple

Bzz.app подписан Developer ID (Roman Kovalev, TeamID 7FJC4XM2S5) и нотаризован Apple. Это значит:

  • macOS подтвердил, что бинарник пришёл от заявленного разработчика
  • Apple просканировал бинарник на вредоносное поведение и не нашёл
  • На любом современном Mac приложение открывается двойным кликом без предупреждения Gatekeeper

Контакт

Вопросы про конфиденциальность можно задать через GitHub Issues (публично) или email zlopixatel12@gmail.com.

Последнее обновление: 31 мая 2026.