如何思考 AI 影像的零留存(Zero Retention)
隱私
零留存不是一個勾選框。它是一組產品與基礎設施的選擇,用來降低使用者內容可能被保存到哪些地方。
- Date
- 2026年6月13日
- Author
- Unexposed

零留存聽起來像是一項政策。實際上,它是一個設計限制。
重要的問題不是產品是否說「我們不會儲存提示詞(prompts)」。重要的問題是:系統是否被建置成讓提示詞與來源影像幾乎沒有地方可以被保存。
分離內容與作業(Operations)
作業中繼資料(operational metadata)很有用。團隊需要知道任務是否失敗、哪些模型較慢、產生了多少張影像,以及佇列是否過載。
使用者內容則不同。提示詞、遮罩(masks)、參考影像、生成的輸出,以及上傳的資產,不應被當作一般的日誌(logs)。
一個好的零留存設計,從一開始就會把這兩類資料分開。
讓「暫時」真的暫時
有些資料在任務執行期間必須存在。提示詞必須能送達模型。來源影像必須被讀取。輸出必須被回傳。
關鍵在於把這些資料保存在短暫的路徑中,任務結束後就刪除。暫存儲存應該是「無聊」、明確、且容易檢查。
避免意外留存
最大的隱私錯誤往往是意外造成的:
- 錯誤日誌中的 request bodies
- 支援工具中的截圖
- 分析事件中的提示詞(prompts)
- 將來源檔案複製到除錯(debug)資料夾
- 為了「品質審查」而保存生成的輸出
零留存需要檢查這些一般路徑,而不只是資料庫結構(schema)。
用清楚的方式說明模型
客戶不應該需要具備資安背景,才能理解他們的內容會發生什麼事。簡單的說明通常是系統本身夠簡單的好跡象。
如果故事需要太多例外情況,實作很可能也做了太多例外。