真正信守承诺的隐私模式:在 AI 功能中构建用户可控的数据边界
2026 年 3 月,一场集体诉讼指控 Perplexity 的“无痕模式”(Incognito Mode)正在将对话数据和用户标识符路由到 Meta 和 Google 的广告网络 —— 甚至对于明确激活了该功能的付费订阅者也是如此。该功能被称为“无痕”。用户认为这意味着私密。但实现方式却并非如此。
这是 AI 隐私模式中最常见的失败模式:名字是营销,实现是“留存戏剧”(retention theater)。工程师上线了一个开关。法务批准了措辞。用户按下开关并信任它。但在数据管道的某处,输入内容仍在流向日志服务、训练任务或某个没人记得拦截的第三方分析 SDK。
构建一个真正起作用的隐私模式,不仅仅是在用户设置架构中添加一个布尔值。它需要重新检查技术栈中用户输入落地的每一个地方 —— 并将“无数据”视为默认,而非例外。
为什么“隐私模式”通常会失败
这种模式在整个行业中不断重复。一个团队发布了一个 AI 功能,用户开始询问他们的数据,产品添加了一个隐私开关,而这个开关做了一些事…… 也许它在 UI 中禁用了对话历史记录。也许它设置了一个标志来跳过某条训练管道。但推理日志仍然写入 S3。错误追踪仍然包含 Prompt 片段。分析事件仍然携带可以被反向识别的会话标识符。
Samsung 在 2023 年的事件仍然具有启发意义。工程师使用 ChatGPT 来分析专有源代码和内部会议纪要 —— 这些生产力任务看起来并无大碍。当时,OpenAI 的默认设置是使用用户输入来改进模型。这些员工并非心怀恶意;他们只是按照工具设计的方式使用它。但他们工作流中嵌入的隐私假设与底层运行的数据实践并不匹配。
斯坦福大学 2025 年的一项研究发现,六家主要的美国 AI 公司默认将用户输入反馈回模型中,且退出机制(opt-out)的使用情况并不一致。根据 Relyance 2025 年的一项调查,五分之四的消费者现在认为公司将个人数据用于未公开的 AI 训练。这种想法并非偏执 —— 它在很大程度上是准确的。
其后果是可以衡量的:KPMG 一项涵盖 47 个国家、4.8 万人的全球研究发现,只有 46% 的人愿意信任 AI 系统,约 70% 的成年人不信任公司会负责任地使用 AI。用户对隐私声明持怀疑态度,是因为他们已经吸取了教训。
真正有意义的隐私模式需要什么
��发布一个有效的隐私模式意味着指定一个精确的数据契约 —— 然后通过整个技术栈来强制执行它。该契约应当回答:
- 推理调用完成后,哪些数据被保留了?
- 记录了什么,谁可以访问这些日志?
- 这次对话是否对任何模型微调或 RLHF 管道有贡献?
- 如果触发了信任与安全(trust-and-safety)标志会发生什么?
- 哪些第三方服务接收了输入或输出的任何部分?
列表上任何与你的隐私模式声明相矛盾的“是”,都是一种负债 —— 法律上的、声誉上的,以及在日益活跃的执法环境下,财务上的。
临时推理(Ephemeral inference)是架构基准。 在零留存配置中,用户 Prompt 和模型输出仅在推理调用期间存在于易失性内存中。当响应返回时,内容即被丢弃。没有 S3 写入。没有数据库行。没有训练队列。仅记录基本的运行指标 —— 延迟、错误代码 —— 并与任何 Prompt 或响应内容解耦。这消除了最常见的失败:本“不该”保留的数据最终被持久化,因为它们经过了一个在发布隐私模式时未更新的日志层。
仅推理模式(Inference-only mode)在模型层面禁用了学习。 每次对话都始于模型的原始、未修改状态。没有跨会话上下文记录。没有依赖于先前交互的个性化。模型处理请求;它不能被请求更新。这不同于 Prompt 上下文管理(你仍然在客户端处理) —— 仅推理意味着从用户的角度来看,模型权重本身是被冻结的。
请求级隔离保护多租户环境。 在共享基础设施中,如果一个用户的隐私模式与具有共享日志中间件的非隐私会话运行在相同的计算资源上,那么该用户的隐私模式就毫无意义。使用硬件支持的安全飞地(secure enclaves)的受信任执行环境(TEEs)可以对模型执行进行加密隔离 —— 宿主操作系统甚至管理员都无法观察飞地内部发生的事情。Apple 的私有云计算(Private Cloud Compute)就采用了这种架构:当 Siri 将复杂请求路由到云端基础设施时,请求会在一个 Apple 自身无法检查的隔离环境中处理,且独立的安全研究人员能够验证其实现。
审计踪迹应当对用户可见。 没有透明度的隐私模式只是一个没有证据的信任主张。用户应当能够看到系统持有的关于他们的哪些数据 —— 并在数据被删除时看到删除时间戳。不可变的删除日志(记录在时间 T 发生了删除,而不保留被删除的内容)让用户能够验证承诺是否得到履行。这就是“我们删除了它”与“这是我们删除它的加密记录”之间的区别。
侵蚀信任的 UX 失败模式
即使是技术上正确的隐私模式,如果用户体验破坏了它,也依然会失败。
- https://www.nightfall.ai/blog/does-chatgpt-store-your-data-in-2025
- https://security.apple.com/blog/private-cloud-compute/
- https://www.enzuzo.com/blog/ai-privacy-violations
- https://www.ada.cx/blog/zero-retention-zero-risk-the-case-for-ephemeral-ai/
- https://neuraltrust.ai/blog/zero-data-retention-agents
- https://arxiv.org/pdf/2510.11558
- https://www.relyance.ai/consumer-ai-trust-survey-2025
- https://investor.cisco.com/news/news-details/2024/New-Cisco-Survey-Shows-Strong-Relationship-Between-Privacy-Awareness-and-Trust-in-AI/
- https://kpmg.com/xx/en/our-insights/ai-and-technology/trust-attitudes-and-use-of-ai.html
- https://secureprivacy.ai/blog/ethical-data-practices-competitive-advantage-2025
- https://news.stanford.edu/stories/2025/10/ai-chatbot-privacy-concerns-risks-research
- https://next.redhat.com/2025/10/23/enhancing-ai-inference-security-with-confidential-computing-a-path-to-private-data-inference-with-proprietary-llms/
- https://www.ketch.com/blog/posts/dark-patterns-are-they-illegal
