搜索 "convert PNG to JPG"，会冒出一墙的免费转换器 —— 多数靠广告挣钱，多数走同一种生意模型：上传你的文件、服务端跑转换、把结果给你。流程顺得让大多数人从来没想过上传到下载之间究竟发生了什么。本文讲清那段过程实际发生了什么、隐私政策说了什么、又没说什么，以及如何判断一款转换器根本不会接触你的文件。

"上传到服务器"的真实含义

在一个典型转换器上点上传时，浏览器会把文件 POST 到服务方的服务器。文件落在一个临时目录里，转换跑起来，再把结果链接返回。UI 看不到的层面上，这个流程里发生了三件事：

文件至少在转换期间一直存在。为支持重试或重复下载，常常会更久。
它可能被记录。服务器访问日志、错误日志、CDN 日志、统计日志，都会例行记录文件名、IP 和元数据。
它会跨越司法辖区。服务方可能运行在与你不同的数据保护制度国家。EU 用户上传到 US 服务器，每一次转换都越过这条边界。

隐私政策里常见的措辞

读得多了，会看到一种模式：

"文件 24 小时后删除" —— 很常见，但无法验证；24 小时已经足以让备份快照把它们抓走。
"我们不会与第三方共享你的文件" —— 通常会跟着一个"我们的服务提供商除外"，这条几乎可以包含任何人。
"使用本服务即授予我们处理你内容的许可" —— 范围广到在某些解读下能涵盖模型训练。
对日志和分析保持沉默 —— 隐私政策很少逐项列出哪些日志收集了什么。

这些不一定都是恶意。它们其实反映了一个处理用户上传的服务器的正常运营现实。同时这也是为什么"最尊重隐私的答案"是"根本不要把文件发出去"。

2026 年的替代方案：完全在浏览器内转换

现代浏览器已经能通过 WebAssembly 原生跑那些图像和视频编解码器 —— 与 ffmpeg、libwebp、 libheif 中提供的同一批编解码器。转换完全在标签页内进行。文件不会离开设备。

这不是一个受限子集。本站支持的所有转换 —— PNG、JPG、WebP、AVIF、HEIC、GIF、MP4、WebM —— 都跑在浏览器里。流水线如下：

你把文件丢进拖放区。文件以 File 对象进入页面内存。
一个 WebAssembly 模块 —— 通常是 libwebp、libheif、ffmpeg.wasm —— 解码源格式。
解码后的像素数据在标签页内被编码成目标格式。
结果用 Blob 包好，作为下载提供给你。

浏览器的网络面板会显示：转换期间的对外 POST 数为零。仅有的网络活动是初始页面加载，以及站点附带的统计/广告脚本。（Picovert 跑统计，但不针对文件内容 —— 既然到不了我们的服务器，就算想读也读不到。）

怎么判断哪些转换器是浏览器端的

五个递进的实用检查：

找它有没有这么主张。浏览器端的转换器往往会主动写出来，因为这是一个有意义的卖点。如果首页没说转换在哪里跑，就当它是服务器端。
打开 DevTools 转一个文件试试。盯着 Network 面板。如果转换运行期间没有 POST/PUT 请求飞出去，就说明文件没被上传。这是单条最可靠的判断。
转换中途断网。如果转换还能完成，那就是本地在跑。
看看页面有没有用 Service Worker 或 WASM。查看源码，搜索 .wasm。浏览器端的转换几乎必然会加载一个 WASM 模块。
找源代码。开源的转换器把自己做了什么暴露在阳光下。Picovert 的仓库是公开的。

什么时候服务端是合理的

服务端转换并非天然不好。在这些场景下它就是正确的架构：

大到塞不进浏览器内存的文件 —— 10GB 的原始视频显然不适合 ffmpeg.wasm。
需要集中 GPU 资源的转换 —— AI 升采样、超分辨率、复杂的视频转码流水线。
输出需要保存到共享位置的工作流 —— 团队共享素材、内容流水线。

给个人照片做一次性转换，这些都不适用。在那种场景下，"服务端"只是 WebAssembly 还不可行年代留下的工程惯性。

Picovert 的做法

我们很早就做出了一个明确的选择：每个工具都跑在浏览器里。我们不运行转换服务器。没有装着你照片的 S3 桶。没有"用户上传"表的数据库。这不是一句营销词 —— 它是我们交付的唯一架构，而且你可以用上面的 DevTools 检查亲自验证。

代价是：我们无法接收超过浏览器标签页能容纳的文件（多数机器约 2 GB），也做不了需要多 GPU 服务器集群的转换。但 99% 的场景 —— 转换手机照片、为网站优化素材、把 GIF 转成 MP4 —— 浏览器都已足够。

底线

"在线转换器"不应该自动等于"上传你的文件"。2026 年，基于浏览器的转换已经成熟、快速、免费。如果一款转换器没告诉你你的文件去了哪里，请假定答案是"去了一台你无法掌控的服务器"。上面的 DevTools 测试只要 30 秒就能告诉你真相。