合规这件事,正在悄悄改变企业调用大模型的姿势。Deloitte一份报告里提到,77%的公司在挑选AI供应商时已经把国籍列进了考量清单——说白了,数据落在谁家的服务器上,比模型跑分高低更让人睡不着觉。这股风潮最直观的结果是,OpenRouter这类模型聚合平台开始把数据驻留从"基础设施级难题"降级成"一次API请求的配置问题"。换句话说,你不用再为合规单独搭一套私有化部署,只要在调用时写对参数,就能把请求精确引导到允许落地的服务商。
具体怎么玩?核心藏在API请求的provider对象里。举一个以anthropic/claude-sonnet-4.6为模型名的调用为例:把order字段填上Anthropic直连和Amazon Bedrock,平台就会按这个顺序挑服务商;如果想更激进一点,加上only限定白名单,再把allow_fallbacks设为false,意味着"找不到合规的就直接报错,别给我偷偷换别家"。更狠的是data_collection: deny,告诉供应商这轮对话不许存、不许拿去训练;再叠一层zdr: true,零数据保留的硬约束就锁死了。这套组合拳打下来,合规审计要的东西基本都在请求头里写明白了。
这套机制对欧盟客户尤其受用。GDPR的条条框框摆在那里,数据出欧盟就是原罪。OpenRouter的方案里举了个很直白的例子:把only限制成Mistral这类欧盟总部供应商,请求就只在欧盟境内的节点之间跑,连回退到美国厂商的可能性都被掐断。当然,代价是灵活性下降——如果配置里圈定的供应商全挂了,API会直接报错返回,而不是像默认行为那样悄悄切到备胎。这其实是一种明确的取舍:把"调用永远成功"换成"调用永远合规"。对法务来说,这笔账比省下的那点延迟成本划算得多。

