Vercel AI Gateway 的 Zero Data Retention 是什么？

它是一项数据策略能力，开启后 AI Gateway 只会把请求路由到符合零数据保留要求的 provider，尽量避免提示词和请求内容被留存。

团队级 ZDR 和请求级 ZDR 有什么区别？

团队级 ZDR 是全局默认策略，适合统一兜底；请求级 ZDR 则适合对特定敏感流程单独加严，两个层次可以同时配合使用。

Disallow Prompt Training 和 ZDR 是一回事吗？

不完全一样。Disallow Prompt Training 主要强调不让 provider 用提示词训练模型；ZDR 更进一步，关注请求数据整体不被保留。官方也说明 ZDR 可以覆盖训练退出这类要求。

为什么这次更新对多模型 AI 应用特别重要？

因为多 provider、动态路由会让数据政策变得很碎。把隐私要求前移到网关层，能减少团队因为手动配置不一致而踩坑的概率。

开了 ZDR 就代表 AI 应用完全安全了吗？

不是。它主要解决 provider 留存这一层的问题，应用日志、缓存、向量库、内部权限和第三方调用链仍然可能带来数据暴露风险。

AI 网关终于开始替团队背锅了：Vercel 这次最值钱的，不是多接几个模型，而是先把‘别乱留数据’做成默认选项

过去一年，AI 基建产品有个特别明显的共同毛病：

模型接得越来越多
路由越来越聪明
延迟和成本讲得越来越漂亮
但一问到数据到底会不会被留、会不会被训练、团队里谁能不小心配错，现场就开始变得含糊

这也是为什么我看 Vercel 这次给 AI Gateway 加上 Zero Data Retention（ZDR） 和团队级控制时，第一反应不是“哦，又一个企业功能”。

而是：AI 网关终于开始认真接住一件本来就不该让应用开发者自己硬扛的脏活了。

说白了，很多团队之前做数据策略，靠的不是基础设施，而是运气：

指望开发者记得在每次请求里手动加配置
指望不同模型提供商的政策你都看得懂
指望没人把敏感 prompt 顺手发到不该留存的通道
指望团队里不会有人把“默认安全”理解成“应该差不多没事吧”

这套东西，迟早翻车。

先说人话：Vercel 这次到底加了什么

按官方说明，这次 AI Gateway 新增的核心能力主要有三块：

团队级 Zero Data Retention：在控制台一开，团队后续请求只会走符合 ZDR 条件的 provider
请求级 ZDR：针对某些敏感流程，单独要求这次调用必须走零数据保留路径
Disallow Prompt Training：显式要求 provider 不拿你的 prompt 去训练模型

如果翻成大白话，这其实是在解决一个很现实的问题：

以前你得自己记住“哪些请求敏感、哪些 provider 能不能留数据、哪些参数要不要手动带上”；现在 AI Gateway 开始替你把这套约束前移到基础设施层。

这个变化很重要。因为 合规和隐私策略一旦还要靠每个开发者每次手写，它本质上就还不是系统能力，只是流程祈祷。

为什么这事比“多一个安全开关”更重要

很多人看到 ZDR，容易把它理解成一个企业采购页上的标准词条：

合规
安全
隐私
企业级

看着都对，但也容易显得有点空。

我觉得这次真正值得写的，不是它多了个概念，而是它在修 AI 应用里一个越来越常见、但很多团队其实没真正解决的问题：

模型层的数据政策太碎了，结果应用团队只能靠人肉记忆和文档自律来兜底。

以前你接一个模型提供商，至少规则还相对集中。现在一旦进入多模型、多 provider、动态路由的世界，复杂度马上就变了：

OpenAI 一套政策
Anthropic 一套说法
Google 一套能力边界
某些 provider 支持 ZDR，某些不支持
某些请求该进高隐私链路，某些又没必要

这个时候，如果团队还在靠“大家记得配一下哦”，基本等于默认某天会有人忘。

Vercel 这次最值钱的地方，就是它开始把这个问题当成 routing policy 和 infrastructure policy 来做，而不是继续把它留在 README 里。

它解决的不是模型问题，而是组织问题

我越来越觉得，今天 AI 应用真正难的地方，已经不完全是“模型够不够强”，而是：

你的团队能不能在模型不断变化的情况下，还把数据边界守住。

这事为什么难？因为 AI 调用不像传统数据库权限那样固定，它经常是：

这个功能今天走 Claude
明天因为成本改走别家
某个实验功能临时接一个新 provider
某个 agent workflow 又自己多调了几次模型

一旦底层路由开始动态化，人的心智负担就会暴涨。你已经很难靠 code review 肉眼保证：

所有敏感请求都带了对的参数
没人错把测试环境配置抄进生产
没有某个新 provider 被接进来时顺手绕开了隐私要求

所以团队级 ZDR 真正有意义的地方，不是方便，而是它在替组织降低“有人一时手滑就把策略打穿”的概率。

这跟传统云平台为什么要做组织级策略、S3 默认加密、统一身份边界，其实是一个逻辑。

安全真正成熟的标志，从来不是每个人都很自觉，而是系统默认帮你把不该犯的错先拦掉。

AI Gateway 这一步，像是在把‘隐私参数’升级成‘平台政策’

我觉得这次更新里最该被注意到的，是一个产品心态变化。

过去很多 AI 平台对隐私的处理，更像是给你几个可选参数：

你自己决定要不要开
你自己决定在哪些请求上开
你自己负责确认 provider 是否支持

这套模式的问题在于，它默认开发者是一个永远不会忘、不会误配、不会在项目迭代中丢上下文的人。

现实当然不是。

而 Vercel 现在做的，是把这件事往另一个方向拽：

团队可统一开关
单请求还能细粒度覆盖
provider 过滤由网关代劳
返回信息里还给 routing metadata，方便审计和追溯

这就不只是“有个参数能配”了，而是开始像一个真正的平台政策系统。

我会把它理解成一句话：

AI 基建产品终于开始承认，数据策略不该是 SDK 使用说明里的附录，而该是平台默认能力的一部分。

这背后其实还有个更大的行业信号

这条新闻之所以值得写，不只是因为 Vercel 发了个新功能，而是它很像一个行业信号：

AI 应用的竞争，开始从‘谁能接更多模型’转向‘谁能在接更多模型时，仍然守住策略一致性’。

以前大家卷的是：

支持多少 provider
路由多智能
failover 多快
成本多低

这些当然还重要。

但当 AI 越来越进入客服、内部知识库、代码助手、企业搜索、业务分析这种会碰到敏感数据的场景时，一个更现实的问题会越来越贵：

你到底有没有把“别把不该留的数据留出去”这件事，做成可验证、可审计、可默认执行的系统能力？

这件事做不好，模型接得再花，最后也可能只是把风险面接得更广。

当然，也别把 ZDR 理解成‘从此什么都安全了’

我对这个方向是看好的，但也不想吹成安全毕业。

因为 ZDR 很重要，但它解决的是其中一层：provider 留不留你的数据。这不代表别的问题自动消失。比如：

你的应用日志自己可能还在记敏感信息
prompt 里可能本来就塞了不该进去的内容
团队内部权限边界还是可能很松
向量库、缓存层、监控平台也可能在留痕
第三方工具调用链不一定跟网关策略一样干净

所以更准确地说，ZDR 不是终点，而是 AI 数据治理终于不再完全裸奔的起点。

这个起点已经很值钱了。因为过去很多团队连第一步都还停留在“我们应该注意一下”。

对开发者和团队来说，这条新闻最值得抄走什么

如果你正在做 AI 应用，我觉得这次更新至少有五个现实提醒：

1. 数据策略别再靠人记

只要某个安全要求还依赖“调用时别忘了加参数”，它迟早会被忘。

2. 多模型架构会放大合规复杂度

provider 越多、路由越动态，越需要统一策略层，不然每次切模型都像在重新做一次隐私审计。

3. 请求级控制和团队级控制都需要

不是所有流量都一样敏感。全局策略兜底，局部策略精细化，这两个层次缺一不可。

4. 审计信息很关键

真正的企业可用，不只是“我配了”，而是“我能证明这次请求为什么被这样路由”。

5. AI 基建的下一轮含金量，在默认策略而不是默认开放

以后更值钱的平台，不一定是最会接模型的，而是最能帮团队稳定守住边界的。

我的判断

如果要我用一句话总结这次更新，我会这么说：

Vercel AI Gateway 推出团队级 Zero Data Retention，真正重要的不是又补了一页企业功能，而是 AI 基建终于开始把‘别乱留数据’这件事，从开发者自觉，升级成平台默认责任。

这事听起来没有模型发布那么炸，也没有新 agent demo 那么好传播。

但它可能比很多热闹更新都更接近真正的落地门槛。

因为 AI 走到今天，很多团队缺的已经不是“怎么把调用接起来”，而是“怎么在调用越来越多、越来越复杂的时候，别把数据边界一起玩没了”。

Vercel 这步，至少是在认真补这条线。