AI 影像 API 絕對不該儲存什麼

開發者

以隱私為先的 AI 影像 API 預設應避免持久儲存提示詞、來源影像、生成輸出、遮罩、參考影像,以及生成金鑰。

Date
2026年7月3日
Author
Unexposed

密封的提示詞、來源影像、輸出與金鑰物件從空的資料庫中通過

最短版本:不要儲存那些一旦使用者在你的管理後台看到,就會讓他們感到自己被背叛的東西。

對於 AI 影像 API 來說,通常意味著提示詞、來源影像、遮罩、參考影像、生成輸出,以及生成金鑰。這些是「含內容」的物件。它們可能揭露私人的意圖、身分、來源素材、客戶工作,以及最終的創意資產。

API 仍可能需要可持久化的紀錄。它可以儲存帳號 ID、模型 ID、信用額度扣款、任務狀態、時間戳、錯誤類別、容量指標,以及不含內容的營運事件。這些紀錄能讓企業運作下去,而不必重建客戶所建立的內容。

差異很重要。“在這個時間點使用這個模型並消耗這些信用額度發生了一次生成”,和”這裡是提示詞與輸出”並不相同。計費紀錄不會自動等同於內容紀錄。請把這條界線劃得清楚。

來源影像更需要特別的紀律。它們往往比提示詞更敏感,因為可能包含臉部、住家、客戶產品、文件,或個人情境。如果 API 為了方便而儲存它們,就應該明說。如果 API 宣稱具備隱私保護,來源影像就不應外洩到日誌、儀表板、畫廊或除錯資料夾。

生成輸出也需要謹慎處理。合成並不代表無害。輸出可能揭露提示詞、來源影像、產品策略,或個人使用情境。託管畫廊是一種保留(retention)功能。這可能很有用,但並非零保留。

金鑰是那個安靜的部分。若 API 使用加密或封裝請求,持久化的金鑰儲存可能會把整套隱私模型全盤抵消。生成金鑰對(Generation Key Pair)應該限定在該任務範圍內,且只在處理所需的時間內存在。

規則不是「永遠什麼都不儲存」。規則是「儲存營運層級的事實,而不是客戶內容;除非使用者明確知道自己在要求儲存。」

如果這聽起來很嚴格,那很好。隱私在某種程度上就是:不要把每一個有用的位元組都變成永久的室友。

延伸閱讀:Unexposed 資料儲存Unexposed 如何運作、以及”我們不會用你的資料訓練” 為什麼還不夠

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.