今天顺手聊 AI 中转站隐私,越聊越觉得这里不是一个小功能,而是一个很大的产品空位:AI API 的下一层基础设施,可能不是“更便宜的中转”,而是“可信的隐私清算网关”。
现在大多数人说“中转站不安全”,容易说成网络明文,其实不是。用户到中转站、中转站到 OpenAI,通常都是 HTTPS。真正的问题是:TLS 只加密到当前终点。你把 base_url 指到中转站,中转站就是 TLS 终点,它天然能看到 prompt、response、tool calls、代码上下文。
这就带来一个很有意思的矛盾:
- 用户想要中转站:便宜、统一接口、模型路由、账号池、额度管理、国内可用性。
- 用户又不想信任中转站:代码、商业文件、私密对话、客户资料都可能从这里流过。
- 中转站想做很多功能:日志、计费、协议转换、重试、模型替换、风控。
- 但这些功能恰恰要求它能看见明文。
所以普通软件架构里有个硬边界:“中转站既要能把正确明文发给 OpenAI,又要技术上完全看不到明文”是矛盾的。除非 OpenAI 官方支持端到端加密请求体,或者中转站把解密和转发放进可远程证明的 TEE 里。
这里反而出现了几个产品方向。
第一层是合同型大中转。不是一堆小站各自承诺“我不看”,而是一个足够大的 AI Gateway 做统一清算:签 DPA、做 SOC 2/ISO、写清楚不保存 prompt/response、只保存 metadata、泄露赔偿、子处理方透明、事故通知 SLA。它解决的不是“技术上看不见”,而是“出了事能追责”。
第二层是 ZDR 路由型网关。网关不一定看不见,但默认不落内容日志,只把请求发给支持 Zero Data Retention 或企业不训练政策的上游;如果某个模型/供应商不满足数据政策,就不路由。这比今天很多低价中转的黑箱强很多。
第三层是自建或托管私有网关。公司或团队自己跑一个 LiteLLM/Portkey/自写 proxy,关闭内容日志,密钥进 KMS,错误日志脱敏,APM 不收请求体。这样明文只在自己和官方供应商之间出现。
第四层才是技术上更接近理想的形态:TEE 可信执行网关。用户客户端先做 remote attestation,确认自己连接的是可信硬件里运行的指定代码,再把密钥/明文发进去。普通中转服务器、运维、日志系统看不到内容,只有 enclave 里的代码能看到。它不是魔法,但把信任范围从“整个中转站”缩小到“可验证的硬件和代码”。
第五层是本地脱敏 SDK。敏感字段在本机替换成占位符,模型处理结构和逻辑,返回后本机再还原。它不完美,但对合同、客服、代码、表格这类场景很现实。
我觉得真正有价值的产品可能长这样:
一个面向 AI API 的 Cloudflare/Visa 式网关:统一接入上游模型,提供 ZDR 路由、metadata-only 计费、签名用量凭证、无内容日志审计、赔偿条款、企业私有网关、可选 TEE 高隐私通道,再配一个本地脱敏 SDK。
今天市场上很多中转还在卷价格和模型数,但未来真正贵的可能不是 token,而是信任边界:谁能看到我的提示词?谁能证明没保存?谁能在泄露时负责?谁能把“我相信你”变成“我可以验证你”?
这件事很像 AI 时代的支付清算/网络安全基础设施。模型提供商在上游,中转和网关在中间,用户和应用在下游。现在大家都在抢模型能力,但模型调用链路本身的隐私、审计、赔偿、密钥、日志、合规,可能也会长出一个大市场。