← 所有文章

怎麼驗證一個網頁工具真的沒上傳你的檔案(DevTools 手把手)

2026-05-30

*一句話答案:*打開瀏覽器的 DevTools,切到 Network(網路)分頁,清空,然後用這個工具處理一個檔案。如果檔案從沒離開你的瀏覽器,你會看到工具的程式碼在下載*——但看不到你的檔案位元組在上傳*。下面是 60 秒版本,加上怎麼看懂你看到的東西。

為什麼「我們不存你的檔案」不夠

大多數「免費」線上檔案工具,會把你的檔案上傳到伺服器、在那邊處理、再把結果傳回來。它們的隱私政策也許承諾事後刪除——但這是個你無法核實的承諾。「我們不你的檔案」仍然意味著你的檔案被傳輸過,並且以明文形式躺在了別人的機器上。一個你沒法驗證的保證不是隱私,是行銷。

好消息是:現代瀏覽器自己就能做這些事——影像處理、PDF 算繪、用 WebAssembly 做影片編碼,甚至用 WebGPU 跑神經網路。當一個工具在本地執行時,你的檔案被讀進瀏覽器分頁的記憶體、處理、再作為下載交還給你。它從不碰網路。而且和承諾不一樣,這一點你一分鐘內就能自己確認。

60 秒檢查法(Network 分頁)

  1. 在一個新分頁打開工具(比如圖片壓縮圖片轉文字)。
  2. 打開 DevTools——按 F12,或右鍵 → 檢查。(Mac 是 Cmd+Opt+I,Windows/Linux 是 Ctrl+Shift+I。)
  3. 點 **Network(網路)**分頁。
  4. 清空(🚫)圖示抹掉已有請求,並勾上 Preserve log(保留紀錄),免得東西消失。
  5. 現在把檔案丟進工具並執行。
  6. 看請求列表,按 **Size(大小)**排序。

你要找的是:一個上傳你檔案的請求會是 POST(或 PUT),且請求主體大小約等於你的檔案。上傳一張 5 MB 的照片,你就會看到一個約 5 MB 的負載往外送。如果唯一的大流量是工具自己的程式碼和 .wasm 檔案往裡下載——而且第一次跑完就停了(因為被快取了)——那你的檔案沒動。

怎麼區分「上傳」和「正常流量」

不是每個請求都是危險訊號。這些對一個 100% 本地的工具來說也很正常:

  • 程式碼和資源載入——JavaScript 套件、.wasm 二進位(FFmpeg、Tesseract 之類)、字型、頁面本身。這些是下載:回應有大小、請求主體是空的,而且首次造訪後會被快取。
  • 分析和廣告——發給 Google Analytics 或 AdSense 的小請求。很小,而且永遠不含你的檔案(它們做不到——你的檔案不在任何它們搆得著的變數裡)。

才是危險訊號:

  • 一個 POST/PUT,它的請求負載大小約等於你的檔案。打開這個請求的 Payload/Request 分頁,你會直接看到那些位元組,或者一個帶著你檔名的 multipart 表單。
  • 一點「處理」就往一個意料之外的儲存網域(某個 S3 bucket、某個 CDN)上傳。

經驗法則:進來的是下載、沒有大的上傳出去 = 本地處理。

核武器選項:直接拔網路線

如果你根本不想讀請求紀錄,還有個誰都能做的更粗暴的測試:

  1. 先把工具頁面載入一次,讓它的程式碼下載完。
  2. 開飛航模式 / 關掉 Wi-Fi——或者在 DevTools 裡把 Network 限速下拉選單設成 Offline(離線)
  3. 執行工具。

如果離線還能用,它就物理上不可能在上傳你的檔案:根本沒有連線可以上傳。(少數工具會按需拉一個大的引擎檔案——有些影片工具第一次會拉 FFmpeg。讓那一次下載完成,然後斷網再處理。)

那為什麼這麼多工具要上傳?

老實說,因為伺服器端更好變現。上傳讓公司能把功能鎖進訂閱、記錄使用情況,最壞的情況下還能留著你的檔案去訓練模型。本地處理要更多工程:把 C 函式庫編譯成 WebAssembly、塞進瀏覽器的記憶體預算、放棄那份掌控力。這筆交易值,只因為一個原因——你的檔案哪兒都不去,而且你不用信我,你可以盯著 Network 分頁看。

這就是 ToolKoala 背後的全部想法:每個工具都在你瀏覽器裡跑。隨便打開哪個的 DevTools,自己查。

常見問題

「不上傳」是不是意味著工具能離線用? 首次載入之後,通常是的。程式碼被快取了,所以大多數工具沒網也能用。少數按需拉大引擎的(某些影片工具)需要先完成那一次下載。

工具會不會偷偷用 WebSocket 或在背景把我檔案傳走? Network 分頁也會顯示 WebSocket 和背景 fetch/XHR 流量,連負載一起。如果你檔案的位元組出去了,就會出現在那裡。這正是關鍵:上傳在 Network 分頁面前無處可藏。

分析和廣告算隱私問題嗎? 它們看到的是標準的造訪訊號——大致位置、裝置類型——不是你的檔案。你的檔案從不進入廣告腳本搆得著的變數,而且就算你封鎖它們,工具照樣能用。

這只適用於 ToolKoala 嗎? 不。這個檢查對任何網頁工具都管用。在你把敏感檔案交給任何一個「免費線上轉換器」之前,先這麼查一遍。

— Milo 🐨