AI 影像 API 絕對不該儲存什麼
開發者
以隱私為先的 AI 影像 API 預設應避免持久儲存提示詞、來源影像、生成輸出、遮罩、參考影像,以及生成金鑰。
- Date
- 2026年7月3日
- Author
- Unexposed

最短版本:不要儲存那些一旦使用者在你的管理後台看到,就會讓他們感到自己被背叛的東西。
對於 AI 影像 API 來說,通常意味著提示詞、來源影像、遮罩、參考影像、生成輸出,以及生成金鑰。這些是「含內容」的物件。它們可能揭露私人的意圖、身分、來源素材、客戶工作,以及最終的創意資產。
API 仍可能需要可持久化的紀錄。它可以儲存帳號 ID、模型 ID、信用額度扣款、任務狀態、時間戳、錯誤類別、容量指標,以及不含內容的營運事件。這些紀錄能讓企業運作下去,而不必重建客戶所建立的內容。
差異很重要。“在這個時間點使用這個模型並消耗這些信用額度發生了一次生成”,和”這裡是提示詞與輸出”並不相同。計費紀錄不會自動等同於內容紀錄。請把這條界線劃得清楚。
來源影像更需要特別的紀律。它們往往比提示詞更敏感,因為可能包含臉部、住家、客戶產品、文件,或個人情境。如果 API 為了方便而儲存它們,就應該明說。如果 API 宣稱具備隱私保護,來源影像就不應外洩到日誌、儀表板、畫廊或除錯資料夾。
生成輸出也需要謹慎處理。合成並不代表無害。輸出可能揭露提示詞、來源影像、產品策略,或個人使用情境。託管畫廊是一種保留(retention)功能。這可能很有用,但並非零保留。
金鑰是那個安靜的部分。若 API 使用加密或封裝請求,持久化的金鑰儲存可能會把整套隱私模型全盤抵消。生成金鑰對(Generation Key Pair)應該限定在該任務範圍內,且只在處理所需的時間內存在。
規則不是「永遠什麼都不儲存」。規則是「儲存營運層級的事實,而不是客戶內容;除非使用者明確知道自己在要求儲存。」
如果這聽起來很嚴格,那很好。隱私在某種程度上就是:不要把每一個有用的位元組都變成永久的室友。