Excalidraw如何保护用户隐私？数据存储策略说明

Excalidraw如何保护用户隐私？数据存储策略说明

在远程办公成为常态的今天，团队协作工具早已从“锦上添花”变成了“基础设施”。尤其在技术团队中，画一张系统架构图、流程图或产品原型，往往是讨论和决策的第一步。Excalidraw 就是在这样的背景下脱颖而出——它没有复杂的界面，也没有臃肿的功能，却凭借极简的手绘风格和对隐私的极致尊重，赢得了大量开发者的青睐。

但真正让它与众不同的，不是“好看”，而是“安心”。

当我们在白板上随手写下“用户鉴权流程”“数据库分片方案”甚至“未发布的API设计”时，有没有想过：这些内容去了哪里？会不会被记录？能不能被追溯？尤其是当我们开始用AI来生成图表时，那句“帮我画一个微服务调用链”的提示词，是否已经飞向了某个云服务商的日志系统？

这些问题，Excalidraw 都替我们想过了。

本地优先：你的画布，只存在于你的浏览器里

打开 excalidraw.com，你会发现一件事：什么都不用做，就能开始画画。

不需要登录，不需要注册，甚至连网络请求都没有几个。这是因为 Excalidraw 的核心哲学非常明确——默认情况下，你的数据哪儿也不去，就留在你自己的设备上。

它是怎么做到的？答案是localStorage。

每当你在画布上拖动一个矩形、添加一段文字，Excalidraw 都会把整个画布的状态序列化成 JSON，写入浏览器的localStorage。这个过程完全在前端完成，没有任何数据上传到服务器。

function saveToLocalStorage(data) { try { localStorage.setItem('excalidraw-state', JSON.stringify(data)); } catch (error) { console.warn('Failed to save to localStorage:', error); } }

下次你重新打开页面，应用会自动读取这段数据，恢复你离开前的样子。就像本地软件一样自然，却又无需安装。

这听起来简单，但在当前几乎所有在线工具都在“默认上传+云端同步”的大环境下，这种“默认离线”的设计反而成了一种反叛式的坚持。

但这套机制意味着什么？

• 你不需要信任任何人：哪怕 Excalidraw 官方想看你的图，他们也看不到——因为他们根本没存。
• 断网也能工作：出差路上、高铁隧道里，照样可以继续画。
• 关闭页面也不会丢：只要不清缓存，一切都会原样回来。

当然，这也带来一些限制：

• localStorage一般只有 5–10MB，太大的项目可能会存不下；
• 数据绑定在当前浏览器，换台电脑或换个浏览器就找不到了；
• 如果清理了缓存，所有内容将永久消失——所以记得导出.excalidraw文件备份。

但这些“缺点”，恰恰是隐私优先的代价。Excalidraw 选择了让用户掌握控制权，而不是为了便利牺牲安全。

实时协作：多人编辑，但服务器看不到内容

很多人误以为：“既然数据本地存储，那怎么协作？”
其实，Excalidraw 的协作机制非常聪明——它做到了“实时协同”，但依然保证“内容不可见”。

当你点击“Share”并创建一个协作链接时，Excalidraw 会生成一个唯一的房间 ID（比如abcd-efgh-ijkl），然后通过 WebSocket 连接到它的信令服务器：

const socket = new WebSocket(`wss://excalidraw.com/socket.io/?room=abcd-efgh-ijkl`);

所有参与者都加入同一个房间后，客户端之间就开始通过这个通道交换“操作指令”——比如“新增了一个箭头”“把文本框往右移了20像素”。这些消息是实时推送的，因此能实现低延迟协同。

关键来了：服务器只是个“邮差”。它转发消息，但从不保存任何画布内容。一旦房间关闭或超时，所有连接断开，数据也就随之消失。

更进一步，通信全程使用 WSS（WebSocket Secure），也就是 TLS 加密，防止中间人窃听。而且你可以设置链接为“只读”，确保别人只能看不能改。

这意味着：

• 协作时，你的敏感设计不会沉淀在某个后台数据库里；
• 即使有人攻破了信令服务器，他也拿不到完整的画布数据——因为服务器根本不存；
• 整个流程开源可审计，任何人都可以检查代码，确认没有后门。

不过也要注意：如果你所在的组织严格禁止连接外部服务，那么官方协作功能就不能用了。这时候，建议自建实例，把信令服务也部署在内网。

AI 生图：功能强大，但风险边界清晰

现在越来越多的工具开始集成 AI，Excalidraw 也不例外。你可以输入“画一个 OAuth2 登录流程”，然后一键生成草图。

但这背后的隐私问题更为复杂：你的描述是不是发给了 OpenAI？会不会被用来训练模型？有没有可能被关联到账户？

首先要澄清一点：Excalidraw 官方主站并不内置 AI 功能。目前所谓的“AI 插件”，大多是第三方扩展（如 Excalidraw+AI）提供的能力。

也就是说，当你使用 AI 时，其实是前端在帮你调用外部 API：

response = requests.post( "https://api.openai.com/v1/chat/completions", json={ "model": "gpt-3.5-turbo", "messages": [ {"role": "system", "content": "You are a diagram generator. Output only valid Mermaid.js code."}, {"role": "user", "content": "画一个前后端分离的架构图"} ] }, headers={"Authorization": "Bearer YOUR_KEY"} )

这段请求会把你写的 prompt 发送到 GPT 模型，返回一段 Mermaid 或 JSON 格式的结构描述，再由 Excalidraw 在本地渲染成图形。

重点在于：AI 处理发生在外部服务，结果仅在本地展示，不再传播。

这就带来两个重要启示：

1. 隐私责任转移到 AI 提供商：你要关心的是 OpenAI、Hugging Face 或其他服务商的隐私政策。例如，OpenAI 明确表示：通过 API 发送的数据默认不用于训练，但网页端聊天记录可能会。
2. 你可以选择更安全的路径：高安全场景下，完全可以连接自托管的大模型，比如用 Ollama 跑 Llama3，在本地完成 AI 推理，真正做到“数据不出内网”。

此外，使用 AI 时也有实用技巧：

• 避免在 prompt 中提及真实系统名、IP 地址、数据库表名；
• 只描述结构关系，不说具体业务逻辑；
• 启用 AI 是显式操作，不会偷偷触发。

换句话说，AI 是一个可插拔的增强模块，而不是侵入式的核心功能。它丰富了体验，却没有动摇“本地优先”的根基。

系统架构：前端主导，后端几乎隐身

如果画一张 Excalidraw 的整体架构图，你会发现它的结构异常简洁：

+---------------------+ | 用户浏览器 | | | | - React 前端应用 | <-----> localStorage (本地存储) | - Canvas 渲染引擎 | <-----> WebSocket (协作中继) | - AI 插件接口 | <-----> 外部 AI API | | +----------+----------+ | | HTTPS / WSS v +----------+----------+ | Excalidraw 服务端 | | | | - 静态资源托管 | (CDN) | - 协作信令服务器 | (Socket.IO 中继，不存数据) | | +---------------------+

整个系统的重心几乎全压在前端。所有的绘图逻辑、状态管理、格式转换，都是 JavaScript 在浏览器里完成的。而后端呢？仅仅做了两件事：

1. 托管静态资源（HTML/CSS/JS）；
2. 提供 WebSocket 中继服务，用于协作。

没有用户数据库，没有文件存储，没有日志收集。连协作消息都不落地。这种“最小化后端依赖”的设计，极大降低了攻击面和合规风险。

而 AI 请求则走独立链路，既可以直连公有云 API，也可以通过代理或本地服务处理，灵活适配不同安全等级的需求。

使用流程中的数据流向：每一步都透明可控

让我们还原一个典型用户的完整使用路径，看看数据到底经历了什么：

1. 打开网页
   → 下载静态资源（CDN）
   → 尝试从localStorage恢复上次内容
   → 无网络请求涉及用户数据

2. 开始绘图
   → 每次修改触发saveToLocalStorage()
   → 数据始终保留在本地浏览器

3. 开启协作
   → 生成 room token，建立 WSS 连接
   → 与其他客户端交换操作指令
   → 服务器仅中继消息，不存储内容

4. 使用 AI 插件
   → 输入 prompt 并发送至指定 AI API
   → 数据短暂离开本地，进入第三方系统
   → 返回结果在本地解析并渲染

5. 结束会话
   → 关闭页面，数据仍保留在localStorage
   → 可导出为.excalidraw、PNG、SVG 存档

整个过程中，只有 AI 调用这一环存在数据外泄的可能性，其余环节全部闭环在本地设备。

更重要的是，所有外部连接都可以在浏览器开发者工具中清晰看到。你想知道有没有偷偷上传？打开 Network 面板一看便知。

如何应对常见担忧？

设计哲学：宁可麻烦一点，也不能越界

Excalidraw 的成功，不只是技术上的精巧，更是价值观上的坚定。

它始终坚持几个原则：

• 隐私优先：宁愿让你手动导出备份，也不默认上传；
• 渐进式增强：基础功能完全离线可用，协作和 AI 作为可选扩展；
• 透明可控：所有外部通信可见、可拦截、可替换；
• 鼓励自托管：提供 Docker 镜像和完整文档，支持企业内部署私有实例。

正是这种“克制”，让它在众多花哨的协作工具中显得格外可靠。

对于工程师来说，这不仅仅是一个画图工具，更是一种态度：数据应该属于创造它的人，而不是平台。

结语：一个值得信赖的数字画布

Excalidraw 的魅力，在于它把复杂的技术问题，转化成了简单的人性选择。

它没有试图用“我们承诺不查看你的数据”来说服你，而是直接让数据根本到不了他们手里。它不靠法律条款免责，而是靠架构设计实现本质安全。

在这个数据即资产的时代，我们太需要这样一种工具了——它不贪婪，不越界，不多问，只安静地陪你把想法变成图像。

也许未来的某一天，我们会忘记那些华丽的功能，但一定会记得：曾经有一个白板，从未窥探过我们的秘密。