Cosa un’API di immagini AI non dovrebbe mai memorizzare

Sviluppatori

Un’API di immagini AI con priorità alla privacy dovrebbe evitare, per impostazione predefinita, la memorizzazione persistente di prompt, immagini sorgente, output generati, maschere, immagini di riferimento e chiavi di generazione.

Date
3 luglio 2026
Author
Unexposed

Prompt sigillato, immagine sorgente, output e oggetti chiave che passano da un database vuoto

La versione più breve: non memorizzare le cose che farebbero sentire l’utente tradito se le vedesse nel tuo pannello di amministrazione.

Per un’API di immagini AI, di solito significa prompt, immagini sorgente, maschere, immagini di riferimento, output generati e chiavi di generazione. Sono oggetti ricchi di contenuto. Possono rivelare intenti privati, identità, materiale di origine, lavori del cliente e asset creativi finali.

L’API potrebbe comunque aver bisogno di record durevoli. Può memorizzare ID account, ID modello, addebiti di crediti, stato delle attività, timestamp, categorie di errore, metriche di capacità ed eventi operativi senza contenuto. Questi record permettono all’azienda di funzionare senza dover ricostruire ciò che il cliente ha creato.

La differenza conta. “È avvenuta una generazione in questo momento usando questo modello e costando questi crediti” non è la stessa cosa di “ecco il prompt e l’output”. Un record di fatturazione non è automaticamente un record di contenuto. Mantieni quel confine ben definito.

Le immagini sorgente meritano una disciplina speciale. Spesso sono più sensibili dei prompt perché possono includere volti, case, prodotti del cliente, documenti o contesto personale. Se l’API le memorizza per comodità, dovrebbe dirlo. Se l’API dichiara privacy, le immagini sorgente non dovrebbero finire in log, dashboard, gallerie o cartelle di debug.

Anche gli output generati richiedono attenzione. Il fatto che siano sintetici non significa che siano innocui. Gli output possono rivelare il prompt, l’immagine sorgente, la strategia di prodotto o il caso d’uso personale. Una galleria ospitata è una funzione di retention. Può essere utile, ma non è retention zero.

Le chiavi sono quelle silenziose. Se un’API usa crittografia o richieste sigillate, la memorizzazione durevole delle chiavi può vanificare l’intero modello di privacy. Una coppia di chiavi di generazione dovrebbe essere limitata al task e vivere solo per il tempo necessario a processarlo.

La regola non è “non memorizzare mai nulla”. La regola è “memorizzare fatti operativi, non contenuto del cliente, a meno che l’utente non abbia chiesto consapevolmente la memorizzazione”.

Se questo suona restrittivo, bene. La privacy è in parte l’arte di non trasformare ogni byte utile in un coinquilino permanente.

Approfondimenti: Memorizzazione dei dati in Unexposed, Come funziona Unexposed e Perché “Non addestriamo sui tuoi dati” non basta.

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.