不必交出你的檔案庫的影像生成
隱私
參考影像往往只是更大一整套私密檔案庫的一部分。AI 產品應將上傳視為狹窄的輸入,而不是開放邀請使用者把資料交出去。
- Date
- 2026年7月3日
- Author
- Unexposed

從產品端來看,影像上傳似乎很小:一張檔案、一個請求、一個進度列、一個乾淨的小 API 物件。很漂亮。
但從使用者的角度,這可能是一扇通往檔案庫的門。所選的影像可能來自手機相簿,裡面包含多年家庭生活、工作截圖、旅遊紀錄、收據、醫療文件、孩子的臉、私人的笑話,以及那些原本不打算交給機器的對話截圖。
因此,影像權限的感受會和文字方塊不同。文字方塊是在問使用者輸入什麼;照片選擇器則可能讓人感覺像是在要求使用者翻找抽屜。現代作業系統雖然已透過有限的照片選取來改善這點,但產品在所選檔案離開裝置之後的行為仍然很重要。
AI 影像生成應將上傳視為狹窄任務所需的狹窄輸入。服務需要這張影像來完成所要求的轉換。它不必自動保留原檔、不必加入使用者的畫廊、不必暴露給客服工具、不必串接到分析、不必為模型改進而留存,也不必透過長期存在的 URL 提供。
最好的隱私姿態應該是「無聊但字面」:使用上傳的影像來做生成,然後就停止。若有例外,就說清楚。若濫用審查在特定情況下需要暫時留存,就說清楚。若計費紀錄需要請求中繼資料,就說清楚。若只有在使用者明確儲存輸出時才會保存,就說清楚。文案不應該需要一群律師才能解讀。
還有一個設計問題:產品是否會把使用者推向批次匯入、永久圖庫,以及把單一影像任務變成可存取的創作帳戶的便利功能?還是讓使用者能夠執行一次工作後就離開?一個產品可以很強大,但不必黏著。
創辦人常擔心,隱私預設值會降低互動。也許會。但不是每個產品都應該為了互動而最佳化。有些產品應該為了信任、任務完成,以及讓使用者能夠乾淨地離開而最佳化。尤其當輸入是個人或具商業敏感性的資料時,更是如此。
「交出你的檔案庫」這句話聽起來很戲劇化,直到你看到有多少應用會把一次上傳變成持久的紀錄。然後它就開始變得煩人地精準。
AI 影像生成之所以有用,是因為它讓人能夠轉換視覺素材。但當這種轉換要求使用者交出比任務本身更大的記憶(資料)時,它就會變得危險。
延伸閱讀:你的自拍照不只是圖片了、為什麼「刪除我的上傳」需要可驗證、以及你的資料。