为什么图片数据比文本更难保护

研究

图片会把身份、位置、物体、元数据和上下文压缩到同一个文件中。这让保护和匿名化变得更困难。

Date
2026年7月3日
Author
Unexposed

一张照片被拆分成面部、位置、物体、元数据和上下文等层

文本之所以危险,是因为人们会写下秘密。图片之所以危险,是因为人们会不小心把秘密带进去。

一个文本提示可能会说:“为我们尚未发布的产品制作一张发布图”。这很敏感。但一张照片可能会泄露尚未发布的产品、办公室、背景里的白板、某人衬衫上的工牌、设备上的序列号、员工的面孔,以及大家仍在使用的那间可怜的会议室。

图片把多种数据类型打包进同一个对象。可见内容包括:面孔、身体、房间、文档、屏幕、车辆、儿童、地址、制服、医疗状况、宗教场景以及昂贵的物品。它们还可能包含元数据:时间戳、设备信息、位置信息、文件历史、相机设置以及编辑痕迹。

即使移除了元数据,图片本身仍可能包含上下文。独特的厨房可以识别出某个家庭。校服可以识别出某个孩子。罕见的产品可以识别出某个客户。背景里的窗户可以识别出一条街道。面孔可以识别出某个人。纹身、步态、手部或疤痕也同样可以识别。图片天生就爱“打听”。

这会让匿名化更难。把文本里的姓名打码,并不等同于对图片进行安全的去标识化。把脸模糊了,房间仍可能暴露出这个人。裁掉背景后,提示词仍可能携带上下文。移除元数据后,内容仍可能足够。

AI 图片工作流还会产生生成式衍生物。一张上传的照片可能会生成许多输出:预览、缩略图、蒙版、嵌入向量、审核/调节事件以及日志。每个衍生物都可能携带原始敏感性的某一部分。如果衍生物在基础设施里四处游荡,就像无人看管的办公室零食一样,那么仅保护原始文件是不够的。

实际的答案是最小化。不要摄取超过所需的图片。元数据在不需要时就剥离。避免存储源文件。避免保存会描述敏感上下文的提示历史。除非用户明确保存,否则让生成的衍生物保持短生命周期。对人脸、家庭、儿童、医疗影像以及客户相关工作使用私有处理。

文本隐私很重要。图片隐私只是更“乱”,因为用户在图片离开设备之后,可能才知道图片里到底包含了什么。

延伸阅读:普通产品照片里隐藏的生物特征数据看似无害的照片编辑如何变成数据问题,以及为什么“我们会匿名化”并不能让任何人安心

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.