Vercel AI Gateway 的 Zero Data Retention 是什么？

它是一种网关层的数据保留控制。当团队启用 ZDR 后，请求只会被路由到符合零数据保留要求的模型供应商，从而减少因手动配置遗漏导致的数据合规风险。

团队级 ZDR 和请求级 ZDR 有什么区别？

团队级 ZDR 是在整个团队范围内统一生效，不需要改代码；请求级 ZDR 则适合只对某些特别敏感的工作流单独开启，灵活性更高。

Disallow Prompt Training 和 ZDR 是一回事吗？

不完全一样。Disallow Prompt Training 主要是禁止供应商用你的提示词训练模型，而 ZDR 的范围更大，通常可以覆盖更完整的数据保留限制。

启用 ZDR 后就完全没有隐私风险了吗？

不是。ZDR 主要约束模型供应商侧的数据处理方式，但应用自己的日志、缓存、RAG、监控系统和内部数据库是否保留敏感信息，仍然需要团队自己治理。

为什么 AI 数据合规越来越适合放到网关层处理？

因为多模型、多供应商环境下，靠每条请求手动配置策略很容易出错。把规则放到网关层，可以让合规控制变成默认行为，而不是依赖每个开发者的记忆和习惯。

AI 网关开始替团队背锅了：Vercel 把‘别拿我 Prompt 去训练’做成了一个总开关

过去一年，很多团队接大模型最烦的事，已经不是"怎么调用"，而是"这段数据到底会不会被留下来"。

尤其你一旦开始同时接多个模型供应商，事情会迅速变得很不优雅：

这家默认会不会保留请求数据？
那家能不能禁用训练？
某个开发者是不是忘了在某条敏感链路上手动加参数？
今天走 OpenAI，明天切 Anthropic，策略会不会直接漏掉？

这种感觉很像什么？很像公司门口装了三把锁，但每个员工都得自己记得锁哪一把。理论上很安全，实际上迟早有人忘。

Vercel 新发的这篇 Zero Data Retention on AI Gateway 干的，就是把这件事往基础设施层按下去：不再靠每个接口、每次请求、每个开发者自己记得配置，而是让 AI Gateway 直接替团队做路由筛选和策略兜底。

这次更新到底更新了什么

先讲大白话版本。Vercel AI Gateway 这次新增的重点，不是又接了几个模型，而是把合规控制做成了团队级开关。

它主要给了三层能力：

团队级 Zero Data Retention（ZDR）
请求级 ZDR
Disallow Prompt Training（禁止用你的 Prompt 训练模型）

重点在第一条。

以前很多团队做法是：谁写到敏感场景，谁自己在代码里配数据保留策略。听起来灵活，实际上非常脆。只要有一条链路漏配，或者有人切 provider 时没把策略同步过去，之前那些"我们很重视数据安全"的口号就容易当场破功。

Vercel 现在的思路是，你直接在网关层开团队级 ZDR，后续请求只会被路由到符合零数据保留要求的 provider。 也就是说，这不再是一条业务逻辑，而是一条基础设施规则。

这个转变非常关键。因为凡是要靠人记住的安全策略，本质上都不算稳定策略。

真正有价值的，不是‘支持 ZDR’，而是‘默认替你筛模型’

说实话，现在市面上说自己支持隐私、支持企业合规、支持不训练数据的平台不少。但很多时候它们只是把控制项丢给你，剩下的自己想办法。

Vercel 这次更像是在做一件很工程化、也很现实的事：

你不用再挨个研究供应商条款，然后在每个请求里祈祷配置没漏；网关会先替你过滤掉不符合要求的路由。

这件事听上去不炸裂，但对真正在生产里跑多模型的团队，含金量其实挺高。

因为很多公司现在并不是只接一个模型：

客服机器人可能走便宜模型
内部知识库问答可能走效果更稳的模型
代码分析、合同摘要、商业文档处理，又是另一套组合

模型一多，策略就容易碎。策略一碎，最先出事的不是效果，而是合规。

Vercel 把它收口到 Gateway，实际上是在把"数据保留策略"从应用代码里抽出来，变成平台级默认值。这个方向我挺认同。

对团队来说，这比多一个 SDK 参数重要多了

文里还提到两种细粒度控制：

对特定请求启用 zeroDataRetention
对特定请求启用 disallowPromptTraining

这当然有用，尤其适合某些链路特别敏感、但全局没必要一刀切的团队。

但如果你问我，真正值得关注的不是那几个参数，而是背后的组织含义：

安全策略终于不再依赖“工程师今天有没有记得写这一行”。

这件事很重要，是因为 AI 系统出问题，很多时候不是模型瞎说八道，而是工程流程里某个看似很小的默认值没人盯住。

你可以把团队级 ZDR 理解成一种"别靠自觉，直接上门禁"。

这类设计的价值，不在于让高手更强，而在于让普通协作也不容易翻车。

你可能还想看：如果你对 AI 时代的基础设施变化感兴趣，可以顺手读读这篇 Vercel 开始不装了：下一代云基础设施，已经默认软件会自己写、自己发、自己修了。两篇放一起看，会更容易看懂为什么 AI 平台现在越来越想接管“默认规则”。

还有一个细节，很多人会低估

Vercel 说，每次响应里还会返回一段 metadata，告诉你这次路由时考虑了哪些 provider、又过滤掉了哪些 provider。

这玩意儿看起来像是顺手加的，但我觉得其实很关键。

因为合规这件事，最怕的不是没有规则，而是你以为规则生效了，结果根本没人能证明它真的生效过。

有了这层 routing metadata，团队至少能知道：

这次请求有没有因为 ZDR 被限制路由
哪些 provider 被排除了
最终实际走到了哪条链路

这对审计、排查和内部沟通都很重要。否则很多团队最后会陷入一种很经典的尴尬：安全同学说要严格，业务同学说别拖速度，工程同学说我好像配了，结果谁都说不清到底发生了什么。

当然，别把它神化成‘一键隐私无敌’

该泼的冷水还是得泼。

Vercel 这次更新很实用，但它解决的是网关层路由和供应商策略一致性，不是所有隐私问题的总答案。至少还有几件事你不能装作不存在：

1. 你的应用自己怎么存，还是你的锅

就算模型侧是 ZDR，如果你把用户输入、日志、trace、报错堆栈全量打进自家系统，那风险并没有凭空消失。

2. RAG、缓存和监控链路也可能泄露上下文

很多团队模型请求是安全的，但向量库、缓存层、第三方监控和工单系统反而把敏感内容留得明明白白。

3. 并不是每个 provider、每个模型都能满足同一等级的策略

一旦你打开严格过滤，选择空间本来就会变小。某些时候，这会直接影响成本、延迟和可用性。

所以这次更新更准确的意义，不是"隐私问题被终结了"，而是：

AI 团队终于可以少写一点到处散落的合规胶水代码了。

这就已经很值钱。

为什么这类能力会越来越重要

我越来越觉得，AI 工程接下来的竞争，不会只是谁模型接得多、调用单价压得低，而是谁能把"默认正确"做进基础设施。

因为今天很多团队的问题不是不会做，而是：

规则太多，没人记得全
供应商太多，策略难同步
业务迭代太快，安全要求总是落后一拍

这时候，最靠谱的做法不是再发一份内部规范文档，而是把规范变成开关，把开关放在平台层。

Vercel 这次干的，就是这件事。

如果你正在做企业级 AI 产品、内部 Copilot、代码助手、文档分析、法务摘要或者任何会碰到敏感信息的工作流，这个方向都值得盯紧。因为它代表了一种更成熟的信号：

AI 平台开始不再只卖模型入口，而是开始卖“默认不会出事的系统行为”。

这比再多一个模型 Logo，实际得多。