生成式媒体的风险不只在图片或视频本身。用户上传的照片可能带有拍摄时间和位置,生成服务可能创建缩略图、预览帧和中间文件,导出时又可能留下永久对象存储链接。只删除主文件并不代表资产已经从系统里消失。
先画出资产派生关系
一份媒体资产可能包含原图、输入参考图、生成结果、缩略图、放大版本、审核副本、日志预览和分享链接。每个对象应有资产 ID、租户、来源、派生关系、创建时间、保留期限和访问策略。这样用户要求删除时,系统知道哪些副本必须一起处理。
上传后应检查并按业务规则清除 EXIF、地理位置、设备信息和不必要的嵌入数据。水印也要明确用途:是品牌标记、来源提示还是版权信息?不要把“存在水印”当成自动获得使用授权的证据,授权仍取决于素材来源和合同。
访问链接必须可控
媒体下载和预览应使用短期、单资产、按租户授权的签名链接。分享、撤回和权限变更发生后,旧链接需要失效或在服务端二次校验。对外部 CDN 和缓存,要定义最大缓存期和清除路径,避免主存储已删除、边缘仍可访问。
模型调用层可以通过 top-api.cc 关联请求 ID、模型和成本,但资产元数据、对象存储和删除工作流应由专门的媒体服务维护。网关不应承担主文件保管职责。
检查清单
- 是否追踪原件、缩略图和所有派生版本;
- EXIF、地理位置和设备信息是否按规则清除;
- 水印和来源标签是否有明确语义;
- 签名 URL 是否短时、可撤销、按租户授权;
- 删除是否覆盖缓存、预览和审核副本;
- 审计日志是否只保留资产标识与必要摘要。
参考资料:媒体对象存储签名 URL 文档、EXIF 元数据规范和各图像/视频平台的内容资产说明。元数据治理应从上传、生成到删除全程执行。
使用 top-api.cc 统一模型调用后,可把资产 ID 与请求 ID 关联,用于对账和追溯,但不要把敏感媒体本身放进通用调用日志。
Leave a Reply