适用于 Mac 的符合 GDPR 的 AI —— LMCP 如何让你的数据保留在本地 | Claude、Cursor、VS Code
LMCP 完全在你的 Mac 上运行。没有云服务器、没有数据传输、无需 DPA。配合 Claude Desktop、Cursor、VS Code、ChatGPT 或 Windsurf 使用,让你的数据从设计上就符合 GDPR。
问题所在:把你的数据发送到云端的 AI 工具
AI 生产力工具无处不在。它们承诺为你总结邮件、管理日历、整理文件。但几乎所有这些工具的工作方式都一样:它们把你的个人数据发送到外部服务器进行处理。
像 Composio、Zapier AI 以及云托管的 MCP 服务器这类工具,要求你通过 OAuth 令牌或 API 密钥连接你的邮件、日历和文件存储。你的数据离开你的设备,经过它们的基础设施,并在你无法掌控的服务器上被处理。对于像“我明天有哪些会议?”这样一个简单的问题,你的整个日历都会被发送到第三方 API。
根据 GDPR 第 5 条,个人数据的处理必须遵循目的限制和数据最小化原则。为了回答一个问题而把你的整个收件箱发送到云端 API 同时违反了这两项原则。根据第 28 条,使用云处理方需要签订数据处理协议。根据第 44 条,将数据传输到欧盟以外需要额外的保障措施。大多数 AI 工具会同时触发这三项义务。
对于欧盟企业、注重隐私的团队,以及任何处理敏感客户数据的人来说,这造成了一种任何隐私政策都无法完全化解的合规风险。
LMCP 如何解决这个问题
LMCP 采取了一种根本不同的方式。它作为一个本地服务器在你的 Mac 上运行,并通过原生 macOS 框架读取你的应用程序 — 用 EventKit 读取 Calendar、用 CNContactStore 读取 Contacts、用 AppleScript 读取 Mail.app 和 Outlook。你的数据从不离开你的机器。即使是处理过程中也不会临时离开。
下面是一个具体的例子,说明当你向 AI 助手询问有关邮件的问题时会发生什么:
- 你输入:“总结我未读的有关 GDPR 审计的邮件”
- 你的 AI 助手将请求发送到
localhost:8765上的 LMCP - LMCP 通过 JXA(JavaScript for Automation)读取 Mail.app — 一个原生 macOS API
- 它在你的机器上本地筛选邮件,并将相关消息返回给你的 AI
- 你的 AI 生成总结
在任何环节,你的邮件内容都不会离开你的 Mac。中间没有云服务器、没有 API 中继、没有在外部基础设施上的临时存储。唯一的网络流量是在你的 AI 客户端及其推理提供方之间,而这一点你在使用该客户端时就已经同意了。
架构:为什么“本地优先”意味着从设计上符合 GDPR
GDPR 合规不是一个你额外加装的功能 — 它是一种架构属性。当没有个人数据离开设备时,大多数 GDPR 义务根本就不适用:
- 无需数据处理协议 — LMCP 不是第 28 条意义上的数据处理方。它在你的设备上运行,由你掌控。没有任何第三方处理你的数据。
- 没有跨境数据传输方面的顾虑 — 由于你的数据保留在你的 Mac 上,因此无需担心第 44 条的传输机制。没有标准合同条款、没有充分性认定、没有具有约束力的公司规则。
- 外部服务器上没有数据留存 — 根本没有服务器来留存数据。LMCP 不存储、不缓存、也不记录任何个人数据。它实时从你的应用程序读取,并在每次请求后丢弃这些数据。
- macOS TCC 权限 = 用户同意(第 6 条) — 当 macOS 要求你授予 LMCP 访问 Mail、Calendar 或 Contacts 的权限时,那就是你在 GDPR 第 6(1)(a) 条下的明确同意。该同意是细粒度的、具体的,并且可撤销的。
- 可通过系统设置撤销访问(第 17 条) — 你可以随时在 系统设置 > 隐私与安全性 中撤销任何权限。这实际上就是把删除权应用于访问权限 — 一旦撤销,LMCP 就再也无法读取该数据源。
对比:云端 AI 工具 vs 本地优先
下面是 LMCP 在与 GDPR 相关的标准上与热门 AI 生产力工具的对比:
| 标准 | LMCP | Composio | Zapier AI | 云端 MCP 服务器 |
|---|---|---|---|---|
| 数据位置 | 仅你的 Mac | 他们的云(美国) | 他们的云(美国) | 不定(通常为美国) |
| 是否需要 DPA? | 否 | 是 | 是 | 是 |
| 跨境风险 | 无 | 高(EU→US) | 高(EU→US) | 高 |
| 符合第 28 条? | 不适用(无处理方) | 需要审查 | 需要审查 | 需要审查 |
| 设置复杂度 | 一条命令 | OAuth + 配置 | OAuth + Zap 构建器 | 不定 |
面向 IT 管理员
如果你正在为你的组织评估 LMCP,以下是你需要了解的内容:
- 无需网络配置 — LMCP 在
localhost:8765上运行。它不开放任何外部端口,也不需要入站连接。 - 无需防火墙规则 — 唯一的出站流量是每 6 小时一次的匿名心跳(版本、操作系统版本、运行时长 — 没有个人数据、没有标识符)。你可以将其屏蔽而不影响功能。
- 没有需要审计的云服务 — 没有 SaaS 平台、没有管理控制台、没有云存储。整个应用程序在本地运行。
- 标准的 macOS TCC 权限 — 所有权限都通过 系统设置 > 隐私与安全性 进行管理。完全可审计、完全可撤销。
- 兼容 MDM — LMCP 是位于
/Applications中的标准 macOS 应用程序。它可与 Jamf、Kandji、Mosyle 以及其他终端管理平台配合使用。你可以通过你现有的 MDM 工作流来部署和配置它。
常见问题
LMCP 是否经过 GDPR 合规认证?
桌面软件不存在此类认证 — GDPR 认证适用于组织和数据处理活动,而非独立的应用程序。LMCP 的 GDPR 合规是架构性的:由于没有个人数据离开设备,因此没有需要认证的数据处理活动。没有第三方处理方、没有跨境传输、也没有外部数据存储。这些合规属性源自其设计,而非来自某份证书。
LMCP 是否适用于公司管理的 Mac?
是的。LMCP 使用标准的 macOS API(EventKit、CNContactStore、AppleScript),并遵守所有 MDM 策略和限制。它作为一个常规应用程序安装在 /Applications 中,并以 LaunchAgent 的形式在用户账户下运行。如果你的 MDM 限制了某些权限,LMCP 将遵守这些限制。
LMCP 会向它的服务器发送哪些数据?
只有每 6 小时一次的匿名心跳,其中包含:软件版本、macOS 版本和运行时长。没有个人数据、没有邮件内容、没有日历事件、没有联系人信息、没有机器标识符。心跳仅用于追踪哪些版本正在被活跃使用,以便我们知道何时停止对旧版本的支持。
哪些 AI 客户端可与 LMCP 配合使用?
LMCP 可与任何兼容 MCP 的客户端配合使用,包括 Claude Desktop、Cursor、搭配 Copilot 的 VS Code、ChatGPT Desktop、Windsurf 和 Zed。无论你使用哪个 AI 客户端,GDPR 合规带来的好处都适用 — 无论如何你的数据都会保留在你的 Mac 上。
开始使用
用一条命令安装 LMCP。无需账户、无需 API 密钥、无需云端设置:
下载 LMCP — 打开 .dmg,拖动到 Applications,从 Applications 打开。大约需要 30 秒。
安装完成后,重新启动 Claude Desktop、Cursor、VS Code 或任何 MCP 客户端,然后开始询问有关你的邮件、日历和联系人的问题。一切都保留在你的 Mac 上。
相关指南
- 如何在 Mac 上让 Claude 访问你的邮件 — 邮件访问的分步设置
- 用 Claude 读取 Microsoft Teams 消息 — 无需任何令牌 — 另一种本地优先的隐私保护方式
- AI 能否在不把你的邮件发送到云端的情况下读取它们? — 深入探讨私密的 AI 邮件访问