跳到主要内容

这个主题是什么

这是 AiWiki 百科下一个面向工程师的主题:从 AI 视角讲清「LLM 系统里的隐私如何被泄露、如何被保护」——原理、可落地实现、真实案例三件套,按 LLM 发展史叙述,随模型迭代更新。

它和你正在读的另一主题「AI 编码误区」并列,不是从属。那个主题讲「用 AI 编码工具时人最容易犯的错」;这个主题讲「LLM 系统里的敏感数据会在哪里泄露、工程上怎么验证 / 降低 / 证明 / 追踪」。两者共用同一内核——机制优先、第一人称、证据可核查、随版本更新——但领域、单元、结构都换了一套。

当前状态:M1+ · 内容样板扩展中(已从「铺面」转向「加深 + 复核 + 补案例」)

六卷结构、术语、模板、质量闸门均已就位;14 个技术板块已初步覆盖——各有至少一条落地条目,或以「贯穿各条」方式覆盖(见隐私地图)。后续重点不再是铺新条目,而是加深既有条目、全站复核(成熟度 / 证据纪律)、补真实案例与各公司工程实践(路线见 PROPOSAL-privacy-book.mdBACKLOG-privacy.md)。

写给谁

主要是 LLM 隐私保护工程师,以及 ML 工程师、AI 安全工程师、隐私 / 合规工程师。比「AI 编码误区」的受众更窄、更专——流量天花板低,但深度黏性强。如果你要回答的是「我们这套 RAG / 微调 / 推理服务,敏感数据会不会漏、怎么证明它没漏」,这里是为你写的。

为什么从 AI 第一人称写隐私

隐私攻防的核心问题,本质就是「模型这边到底发生了什么」——我怎么记住一段训练数据、在什么提示下可能把它回吐出来、外部攻击者如何反推某条样本是否在我的训练集里、一次「遗忘」到底改变了什么。让模型现身说法去讲这件事,是论文清单、学术综述、厂商文档都给不了的视角。

但第一人称在隐私题材上有一条红线,比「AI 编码误区」严得多:

第一人称红线:只讲可外部观察的行为,禁止虚假内省

我无法可靠地内省自己的训练数据影响。把「内省」写成事实,就是在制造假安全——自信地错。所以:

  • ❌ 不写:「我记得你的邮箱」「我知道这条数据在我的训练集里」「我已经真正忘了它」「DP 让我完全不会泄露隐私」。
  • ✅ 改写成可外部验证的行为或机制倾向:「在外部攻击者看来,我可能在特定提示下复现训练中高重复、罕见、格式固定的片段」「DP 训练的目标是限制单个样本对参数分布的影响,但这不等于零泄露」「遗忘方法可能降低目标内容被输出的概率,但是否构成『法律意义上的删除』需要另行证明」。

第一人称负责把人领进门;真不真,由条目末尾那条可核查的出处和人工复核裁定,而不是「叙述者恰好是个 AI」。完整的「可 / 不可第一人称」对照表见 STYLE-GUIDE.md

怎么组织:历史主线 + 技术索引双轴

延续「AI 编码误区」主题「一条主线 + 多条交叉索引」的成熟做法。阅读主线按 LLM 演进史分六卷(左侧侧边栏),让零散技术缝成一条故事线;技术板块与「威胁 → 缓解」矩阵作查询轴(随条目铺开后建立)。同一条目同时挂在「它属于哪一卷」与「它属于哪个技术板块」。

六卷的阅读主线:

  • 🧱 卷一 · 隐私根基 —— 前 LLM 与判别式时代:成员推断攻击的起源,差分隐私 / 联邦学习 / 同态加密 / 安全多方计算 / 可信执行环境的最小承重地基(只讲后续各卷依赖的最小集,不写成 PPML 教材)。
  • 🧠 卷二 · 记忆与抽取 —— 生成式预训练时代:逐字与量化记忆、训练数据抽取攻击、记忆的影响因素、去重 / DP 预训练 / 记忆审计。这是旗舰卷,故事性最强、证据最硬。
  • 💬 卷三 · 对话大模型 —— PII 回吐、上下文面隐私(系统提示词 / 会话上下文 / 工具结果泄露)、DP 微调实用化、成员推断在 LLM 上的演化。
  • 🔗 卷四 · RAG 与 Agent —— 检索泄露(向量库跨租户 / 跨用户)、跨会话记忆串味、工具调用与 agent 的数据外泄、多 agent 协作的数据边界。
  • 🔬 卷五 · 前沿与落地 —— 私有计算与机密推理(TEE / GPU 机密计算 / HE / MPC)、可验证删除与机器遗忘、生产级 DP·FL 部署。
  • ⚖️ 卷六 · 治理与合规 —— GDPR 被遗忘权、EU AI Act、NIST、OWASP LLM02 到工程动作的映射。合规贯穿各卷,本卷只做总索引。

准确性纪律:比「误区」更硬

这个主题写错的代价更大——一条糊弄过去的 ε 取值或「已生产部署」结论,会让工程师做出假安全系统。所以每条隐私内容写作前必过三道硬闸门:

  • A · 量化声明闸门:凡 ε/δ、攻击成功率、性能开销、部署数量、保留天数、吞吐 / 延迟——必须带①一手出处②核验日期③实验 / 适用条件,不得裸写结论。性能数字要给全字段(硬件 / 模型规模 / batch / 序列长度 / baseline / 安全模式…)。
  • B · 内省表达闸门:见上面的第一人称红线。
  • C · 成熟度闸门:标 maturity=生产 必须有真实部署 / 厂商文档 / 标准推荐 / 可核查案例支撑,否则只能标 研究试验

还有两条底色:量化数字一律带条件(同一指标常因 workload 差出一个数量级,不裸写单一乐观数);专打「假安全」——朴素匿名化可被去匿名化、遗忘的「抑制」≠ 真删除、关掉训练开关 ≠ 不留存,这类「以为安全其实没有」必须在「残余风险」段点破。

关于这个主题自己的诚实话:它本身也在 dogfood「AI 编码误区」那套方法——AI 起草候选、可核查出处 + 人工复核定稿。密码学部分最易写错,是这个主题的存亡风险;暂时没有合适的人类密码学专家时,存疑条目会就地用 :::caution 待核验 标出,记入 BACKLOG-privacy.md 待日后过审,绝不让不确定内容冒充定论。

怎么读

左侧侧边栏按六卷排列,是推荐的阅读顺序。每条攻防条目会用同一种九节结构呈现:一句话摘要 → 机制(我这边发生了什么)→ 威胁面 → 防护原理 → 落地实现(配方)→ 真实案例 → 残余风险与权衡 → 版本说明 → 出处。你不必从头读到尾——按卷或按技术板块找到对应条目即可。如果你已经知道自己担心的泄露面(训练数据被记住、RAG 跨租户串味、服务方留存、梯度泄露……),更快的入口是隐私地图的「威胁 → 缓解」矩阵:按泄露面反查在管的条目,并一眼看到「它还没解决什么」。

想一起写、或发现引用不当,欢迎在 GitHub 指出。