删除后仍意味着公开可访问

故障模式

当公共路由、共享链接、缓存层或派生文件在界面隐藏图片后仍继续暴露时,“删除”主张会失败。

Date
2026年7月3日
Author
Unexposed

一个删除按钮出现在浏览器窗口前,仍显示被移除的图片

“已删除”是产品文案中最危险的词之一,因为用户会认为它意味着某种正常的事情。

他们以为“删除”就等于消失。对他们不可见。对他人不可见。不可被搜索。通过链接无法访问。也不会在公共存储桶里悄悄待着,戴着假胡子。

软件往往意味着更狭窄的含义。列表中删除了。账号里删除了。从活动数据库中删除了。经过保留期后删除了。从主存储删除了,但仍在备份中。除了日志之外都删除了。除了缩略图之外都删除了。除了那件没人记得的东西——它是在一个名为“快速修复”的冲刺中被加进去的。

对于 AI 图像工具来说,这种不匹配非常残酷。用户可能上传一张脸,生成私密输出,然后删除会话,并且合理地认为这些工作已经消失。如果共享 URL、公开画廊路径、CDN 缓存或派生预览仍然可以访问,那么产品就破坏了这个词的普通含义。

更好的产品语言应该更具体。“从你的画廊移除”与“从我们的系统中删除”不同。“临时文件在 X 后过期”与“我们会立即删除”不同。“备份可能会在 Y 天内保留加密副本”比那种带着愉快按钮、写着删除却让基础设施自行发挥的做法更诚实。

工程团队应当把删除当作一个工作流,而不是一个标记。源上传、生成的输出、提示词记录、缩略图、导出内容、日志、审核副本、缓存键以及共享链接,都需要做出明确决策。部分内容应当删除。部分内容可能需要为安全或法律原因保留。关键在于弄清楚哪些会怎样。

公开可访问性值得单独测试。如果用户在删除之前有一个直接链接,那么删除之后他们还能打开吗?如果答案是“可以”,那界面就没有向大多数用户所理解的“删除”交付结果。

确实存在合法例外。存在法律保全。存在滥用调查。存在备份。但例外的存在并不能为模糊的默认设置开脱。例外应当范围狭窄、在政策语言中有明确记录,并且让用户看得见。

AI 图像产品处理的是亲密材料。它们不该把“删除”当作装饰性文案。这个词需要经得起“直接链接测试”。

延伸阅读:生成图像与保留图像在法律上的区别为什么临时上传需要保留策略,以及私密 AI 在纯英文里应该意味着什么

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.