如何思考 AI 图像的零留存
隐私
零留存并不是一个勾选项。它是一组产品与基础设施层面的选择,用于减少用户内容可能被存放的地点。
- Date
- 2026年6月13日
- Author
- Unexposed

零留存听起来像是一项政策。实际上,它是一种设计约束。
重要的问题并不是产品是否说“我们不存储提示词”。更重要的是:系统是否被构建为让提示词和源图像几乎没有地方可去。
将内容与操作分离
操作性元数据很有用。团队需要知道任务是否失败、哪些模型较慢、生成了多少张图像,以及队列是否过载。
用户内容则不同。提示词、遮罩、参考图像、生成结果以及上传的资源,不应被当作普通日志来处理。
一个好的零留存设计会从一开始就把这两类数据分开。
让“临时”真正意味着“临时”
有些数据在任务运行期间必须存在。提示词需要到达模型。源图像需要被读取。输出结果需要被返回。
关键在于将这些数据保存在短生命周期的路径中,并在任务完成后删除。临时存储应当“无聊”、明确,并且易于检查。
避免意外留存
最大的隐私错误往往是意外造成的:
- 错误日志中的请求体
- 支持工具里的截图
- 分析事件中的提示词
- 源文件被复制到调试文件夹
- 为“质量复核”而保存的生成结果
零留存要求你检查这些常见路径,而不仅仅是数据库架构。
用通俗语言解释模型
客户不应该需要安全背景才能理解他们的内容会发生什么。一个简单的解释通常是系统本身足够简单的良好信号。
如果这个故事需要太多例外情况,那么实现很可能也做了太多例外。