客户绝不应该找到的那张截图
故障模式
客户绝不应通过公开 URL、共享预览、搜索结果或泄露的截图,发现其私有的、由系统生成的输出。
- Date
- 2026年7月3日
- Author
- Unexposed

想象一下:客户发现了一张他们从未发布过的图片。
不在你的应用里。不在他们的账户里。却在别处。一个公开 URL。一个被缓存的预览。一个共享截图。一个搜索结果。一个支持工单附件。一个演示环境。一个本应被保护的预发布页面——但显然选择了“犯罪人生”。
那一刻会摧毁信任,因为它击碎了产品叙事。客户以为图片是私有的。系统却揭示:隐私是有条件的——前提是他们不知道该去哪里找。
AI 生成的图片之所以容易出现这种问题,是因为产品会创建许多“次级表面”。有预览、缩略图、分享链接、审核队列、管理后台、支持工具、CDN URL、错误报告里的截图,以及内部文档中使用的示例。每一个表面,都是让私有内容逃离用户心智模型的机会。
这种故障往往很“日常”。分享链接默认是公开的。截图里包含真实客户内容。预发布数据库使用了生产文件。支持工具让客服可以直接打开输出。生成的图片 URL 没有过期时间。演示材料用的是实际客户示例——因为看起来不错,而且没人记得要追问:它是否应该存在。
防止这种情况也同样很“日常”。使用合成的演示数据。让内部截图不包含客户内容。对私有输出要求使用会过期的链接。将预发布资源与生产环境分离。限制管理权限。删除衍生物。像把支持工具当作产品的一部分一样去审查它——因为它确实是。
这就是“我们不会发布你的图片”这个说法过于狭窄的地方。真正的承诺应该更广泛:你的私有生成图片不会通过公开画廊、长期链接、内部演示或支持相关界面被暴露出来。只有在系统确实做到了之后,才应该这样说。
客户不关心是哪一层泄露了截图。他们不关心是 CDN、预发布、支持,还是“增长部的 Bob”。他们关心的是:他们发现了某些本不该被发现的东西。
客户绝不应该找到的那张截图,不只是一个噩梦场景。它更像是一份清单:如果你能想象它可能出现在什么地方,你就能在别人发现之前把通路关上。
延伸阅读:那一张截图如何摧毁 AI 产品的信任,为什么你的 AI 画廊可能是个隐患,以及为什么没有托管画廊不是产品功能。