客户绝不应该找到的那张截图

故障模式

客户绝不应通过公开 URL、共享预览、搜索结果或泄露的截图,发现其私有的、由系统生成的输出。

Date
2026年7月3日
Author
Unexposed

客户通过被破解的公开界面发现内部生成的截图

想象一下:客户发现了一张他们从未发布过的图片。

不在你的应用里。不在他们的账户里。却在别处。一个公开 URL。一个被缓存的预览。一个共享截图。一个搜索结果。一个支持工单附件。一个演示环境。一个本应被保护的预发布页面——但显然选择了“犯罪人生”。

那一刻会摧毁信任,因为它击碎了产品叙事。客户以为图片是私有的。系统却揭示:隐私是有条件的——前提是他们不知道该去哪里找。

AI 生成的图片之所以容易出现这种问题,是因为产品会创建许多“次级表面”。有预览、缩略图、分享链接、审核队列、管理后台、支持工具、CDN URL、错误报告里的截图,以及内部文档中使用的示例。每一个表面,都是让私有内容逃离用户心智模型的机会。

这种故障往往很“日常”。分享链接默认是公开的。截图里包含真实客户内容。预发布数据库使用了生产文件。支持工具让客服可以直接打开输出。生成的图片 URL 没有过期时间。演示材料用的是实际客户示例——因为看起来不错,而且没人记得要追问:它是否应该存在。

防止这种情况也同样很“日常”。使用合成的演示数据。让内部截图不包含客户内容。对私有输出要求使用会过期的链接。将预发布资源与生产环境分离。限制管理权限。删除衍生物。像把支持工具当作产品的一部分一样去审查它——因为它确实是。

这就是“我们不会发布你的图片”这个说法过于狭窄的地方。真正的承诺应该更广泛:你的私有生成图片不会通过公开画廊、长期链接、内部演示或支持相关界面被暴露出来。只有在系统确实做到了之后,才应该这样说。

客户不关心是哪一层泄露了截图。他们不关心是 CDN、预发布、支持,还是“增长部的 Bob”。他们关心的是:他们发现了某些本不该被发现的东西。

客户绝不应该找到的那张截图,不只是一个噩梦场景。它更像是一份清单:如果你能想象它可能出现在什么地方,你就能在别人发现之前把通路关上。

延伸阅读:那一张截图如何摧毁 AI 产品的信任为什么你的 AI 画廊可能是个隐患,以及为什么没有托管画廊不是产品功能

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.