这个主题是什么
这是 AiWiki 百科下一个面向工程师的主题:从 AI 视角讲清「LLM 系统里 的隐私如何被泄露、如何被保护」——原理、可落地实现、真实案例三件套,按 LLM 发展史叙述,随模型迭代更新。
它和你正在读的另一主题「AI 编码误区」并列,不是从属。那个主题讲「用 AI 编码工具时人最容易犯的错」;这个主题讲「LLM 系统里的敏感数据会在哪里泄露、工程上怎么验证 / 降低 / 证明 / 追踪」。两者共用同一内核——机制优先、第一人称、证据可核查、随版本更新——但领域、单元、结构都换了一套。
六卷结构、术语、模板、质量闸门均已就位;14 个技术板块已初步覆盖——各有至少一条落地条目,或以「贯穿各条」方式覆盖(见隐私地图)。后续重点不再是铺新条目,而是加深既有条目、全站复核(成熟度 / 证据纪律)、补真实案例与各公司工程实践(路线见 PROPOSAL-privacy-book.md、BACKLOG-privacy.md)。
写给谁
主要是 LLM 隐私保护工程师,以及 ML 工程师、AI 安全工程师、隐私 / 合规工程师。比「AI 编码误区」的受众更窄、更专——流量天花板低,但深度黏性强。如果你要回答的是「我们这套 RAG / 微调 / 推理服务,敏感数据会不会漏、怎么证明它没漏」,这里是为你写的。
为什么从 AI 第一人称写隐私
隐私攻防的核心问题,本质就是「模型这边到底发生了什么」——我怎么记住一段训练数据、在什么提示下可能把它回吐出来、外部攻击者如何反推某条样本是否在我的训练集里、一次「遗忘」到底改变了什么。让模型现身说法去讲这件事,是论文清单、学术综述、厂商文档都给不了的视角。
但第一人称在隐私题材上有一条红线,比「AI 编码误区」严得多:
我无法可靠地内省自己的训练数据影响。把「内省」写成事实,就是在制造假安全——自信地错。所以:
- ❌ 不写:「我记得你的邮箱」「我知道这条数据在我的训练集里」「我已经真正忘了它」「DP 让我完全不会泄露隐私」。
- ✅ 改写成可外部验证的行为或机制倾向:「在外部攻击者看来,我可能在特定提示下复现训练中高重复、罕见、格式固定的片段」「DP 训练的目标是限制单个样本对参数分布的影响,但这不等于零泄露」「遗忘方法可能降低目标内容被输出的概率,但是否构成『法律意义上的删除』需要另行证明」。
第一人称负责把人领进门;真不真,由条目末尾那条可核查的出处和人工复核裁定,而不是「叙述者恰好是个 AI」。完整的「可 / 不可第一人称」对照表见 STYLE-GUIDE.md。
怎么组织:历史主线 + 技术索引双轴
延续「AI 编码误区」主题「一条主线 + 多条交叉索引」的成熟做法。阅读主线按 LLM 演进史分六卷(左侧侧边栏),让零散技术缝成一条故事线;技术板块与「威胁 → 缓解」矩阵作查询轴(随条目铺开后建立)。同一条目同时挂在「它属于哪一卷」与「它属于哪个技术板块」。
六卷的阅读主线:
- 🧱 卷一 · 隐私根基 —— 前 LLM 与判别式时代:成员推断攻击的起源,差分隐私 / 联邦学习 / 同态加密 / 安全多方计算 / 可信执行环境的最小承重地基(只讲后续各卷依赖的最小集,不写成 PPML 教材)。
- 🧠 卷二 · 记忆与抽取 —— 生成式预训练时代:逐字与量化记忆、训练数据抽取攻击、记忆的影响因素、去重 / DP 预训练 / 记忆审计。这是旗舰卷,故事性最强、证据最硬。
- 💬 卷三 · 对话大模型 —— PII 回吐、上下文面隐私(系统提示词 / 会话上下文 / 工具结果泄露)、DP 微调实用化、成员推断在 LLM 上的演化。
- 🔗 卷四 · RAG 与 Agent —— 检索泄露(向量库跨租户 / 跨用户)、跨会话记忆串味、工具调用与 agent 的数据外泄、多 agent 协作的数据边界。
- 🔬 卷五 · 前沿与落地 —— 私有计算与机密推理(TEE / GPU 机密计算 / HE / MPC)、可验证删除与机器遗忘、生产级 DP·FL 部署。
- ⚖️ 卷六 · 治理与合规 —— GDPR 被遗忘权、EU AI Act、NIST、OWASP LLM02 到工程动作的映射。合规贯穿各卷,本卷只做总索引。