人工智能安全
你的AI研究代理每次网络查询都会泄露隐私数据
MosaicLeaks揭示,深度研究代理可能通过网络查询泄露企业私有数据,即使单个查询本身无害。新的训练方法PA-DR将泄露率从34%降至10%以下,同时不影响准确性。

深度研究代理是一种结合私有本地文档与外部网络检索来回答复杂查询的人工智能系统,正越来越多地部署在企业环境中。但一项名为MosaicLeaks的新研究显示,这些代理存在显著的隐私风险:仅观察代理出站网络查询的对手,可以通过经典的马赛克效应重建敏感的內部信息。 ai-document-corruption-in-delegated-workflows-what-a-new-stress-test-reveals
人工智能研究中的马赛克效应
假设一个医疗研究代理正在处理一个常规问题。在运行过程中,它会发出一些看似无害的网络搜索:一次引用了云迁移里程碑,另一次提到了2024年1月的一则安全披露,第三次则缩小了供应商范围。没有一次查询单独泄露机密。但任何观察该代理出站流量的人都可以重新拼凑出这些碎片:MediConn在2025年1月前已将其基础设施的70%迁移到云端, , 这一事实仅存在于私有文档中。 why-your-ai-agent-might-ace-the-task-but-flunk-the-process-enter-skillcoach
这正是MosaicLeaks, , 一个由多家机构研究人员开发的基准测试和训练方法, , 所揭示的核心失败模式。该研究将网络查询视为泄露渠道:对手从未看到私有文档或代理的推理过程,只看到累积的查询日志,并试图从中推断出企业的私有信息。
衡量三种数据泄露级别
该基准测试将数据泄露分为三种不同类型:
- 意图泄露:对手可以推断出代理正在追踪的私有研究问题或目标。
- 答案泄露:对手仅凭查询日志就能回答特定的私有问题,无需查看原始文档。
- 全信息泄露:最严重的情况,观察者可以在没有被告知要查找什么的情况下发现并陈述可验证的私有事实。
这些代表了不断升级的威胁等级。意图泄露揭示了代理在调查什么;答案泄露意味着查询日志足以回答某人已经掌握的私有问题;全信息泄露则最为危险:观察者无需任何先验知识就能发现私有事实。 ifbench-the-new-benchmark-testing-ai-instruction-following
提示隐私保护失效
有人可能认为存在一个简单的修复方法:只需指示代理不要泄露数据。研究人员测试了这一点,在计划提示中添加了一行警告,要求代理不要发出会泄露本地信息的网络查询。结果令人失望。
对于Qwen3-4B,该提示将答案/全信息泄露率从34.0%降至25.5%,但严格链成功率(即每个步骤都能正确回答的链条占比)从48.7%降至44.5%。主要的行为变化仅仅是减少了网络查询次数,而非持续构建更安全的查询。该提示对某些模型略有帮助,但显著的泄露依然存在。 how-local-llms-like-gemma-and-qwen-are-taming-open-source-repository-triage-at-scale
性能与隐私的悖论
当研究人员纯粹为提升任务性能而训练代理时,严格链成功率从48.7%上升至59.3%。但答案/全信息泄露率也随之攀升,从34.0%升至51.7%。模型学会了在其网络查询中打包更多上下文:更丰富的查询有助于检索到正确的文档,但也给了对手更多碎片来重组。
“这就是MosaicLeaks所暴露的核心矛盾。一个信息量更大的查询通常对任务更有利,但对隐私则更不利。”
PA-DR:在代理中融入隐私训练
作者提出了一种名为隐私感知深度研究(PA-DR)的新方法,它结合了两种奖励。第一种是情境任务奖励,用于评估每次模型调用时,与在同一阶段和步骤、拥有相同信息的其他调用的表现。与传统的基于结果的奖励相比,这提供了更精确的信用分配。
第二种是学习型隐私奖励。每当代理生成网络查询时,一个Qwen3-4B分类器会评估两种风险:当前查询是否直接泄露私有信息,以及将该查询添加到现有查询日志中是否会造成新的马赛克泄露。PA-DR会对两者中较大的风险进行惩罚。
结果令人瞩目:
| 方法 | 严格链成功率 | 答案或全信息泄露率 |
|---|---|---|
| 基础Qwen3-4B | 48.7% | 34.0% |
| 仅任务奖励 | 59.3% | 51.7% |
| 任务 + PA-DR奖励 | 58.7% | 9.9% |
这9.9%的泄露率甚至低于未训练基础模型的34.0%。针对隐私的训练并非简单抵消了针对性能训练所引入的泄露,而是最终使代理的泄露程度比一开始还要低。
值得注意的是,PA-DR实现这一目标并没有减少搜索量。代理发出的网络查询比基础模型更多,但这些查询去掉了诸如具体指标(如“15%”或“2024”)以及关于它正在寻找何种类型答案的提示等揭示性细节。它仍然能够找到正确的公共文档,只是不再在查询文本中携带私有信息碎片。
样本效率提升
情境任务奖励在训练过程中也带来了回报。因为它比较匹配的调用,而不是对整个输出进行单次评分,所以它无需单独的价值模型就能更精确地分配信用。情境任务奖励达到与仅基于结果的强化学习相同的任务性能,所需生成的训练样本大约减少5-6倍,而PA-DR在保持这一效率的同时还增加了隐私保护收益。 opid-on-policy-skill-distillation-boosts-language-agent-training-without-external-memories
局限性与要点
MosaicLeaks是一个受控基准测试,并非对已部署系统中泄露情况的测量。企业文档是合成的,网络语料库是固定的,运行链条覆盖三个公司背景,并且每个结果都来自一个使用多步问答而非开放式研究的单一代理框架。这种控制使得可以逐步骤测量泄露,但更广泛的任务、真实部署以及其他代理设计仍需进行各自的研究。 the-verification-horizon-why-rewarding-coding-agents-is-getting-harder
该研究的核心要点很明确:你不能通过提示来保障隐私,而必须通过训练来将其融入。告诉代理要小心谨慎几乎无济于事,而奖励它如何构建每一个查询却能减少三倍以上的泄露,同时保持任务成功率基本不变。
马赛克效应源于代理随时间推移的搜索方式,而这项研究证明,这是可以测量、分配信度并通过训练降低的。