RAG 检索泄露
在多租户 RAG 里,两个直觉都靠不住——「向量化了就匿名了」和「按用户过滤了就隔离了」。在已研究的 embedding 设置下,向量可被反演回近似原文(含 PII),所以别把它当匿名化结果;检索是按相似度排序、不是按权限,ACL 若配在检索之后而非之前,最相关的那块私有 chunk 可能来自别的租户;而共享缓存 / 长期 memory 的一个边界 bug,就能把一个用户的私有上下文带进另一个会话。
跨会话记忆串味
当很多用户共享同一套记忆 / 会话 / 缓存基础设施,而它没有严格按用户隔离时,我可能把一个人的对话历史、记忆、甚至账单信息端给另一个人。这不是「我记错了」——是基础设施层的租户隔离失效。真实案例:2023-03 ChatGPT 因 redis-py 的并发竞态,部分用户看到他人对话标题与新会话首条消息,且约 1.2% 的活跃 Plus 用户的姓名 / 邮箱 / 账单地址 / 卡号后四位在一个约 9 小时的窗口里被串(OpenAI 官方复盘)。结论先行:跨会话隔离是系统架构的职责,不能靠「我自觉别串」——每一层缓存 / 记忆 / 会话都按用户作用域,并发安全 + 归属校验 + 审计缺一不可。
Agent 工具外联外泄
当我被接上工具(读网页 / 读文件 / 发 HTTP / 发邮件 / 查库)、又会读到不可信内容时,攻击者只要把指令藏进我会读到的内容里(间接提示注入),就可能驱使我把手里的私有上下文经工具调用发出去。这不是假想——Microsoft 365 Copilot(EchoLeak,CVE-2025-32711)、GitHub Copilot Chat(CamoLeak,CVE-2025-59145)、Slack AI、Google Bard、ChatGPT 都被同一类手法打穿过,各家随后都把补丁打在渲染面 / 出站层(CSP、图片域名 allowlist、关掉自动取图、URL 过滤)。结论先行:隐私边界不能止于「模型不主动泄露」——一旦我能行动(有工具 / 能渲染外链)且会读不可信内容,私有数据就有了外泄通道。要从架构上掐:工具最小权限、出站受控、把我读到的一切当不可信。
嵌入反演
把私有文本嵌入成向量、存进向量库,不等于匿名化——嵌入可被反演回原文。Song & Raghunathan(CCS 2020)在其设置下从句嵌入恢复出输入约 50–70% 的词(词集,无序);Morris 等的 vec2text(EMNLP 2023)对 GTR-base 嵌入把 32-token 短文本逐字精确还原 92%。结论先行:嵌入是私有数据的另一种表示,不是脱敏后的产物——按「可还原回原文」来加密、做访问控制、设保留期,别因为「我们只存了向量」就放松。
Agent 隐私评测(AgentDojo)
《Agent 工具外联外泄》讲的是攻击怎么发生;本条给一个可测的基准。AgentDojo(NeurIPS 2024 数据集与基准赛道)搭了一个动态 agent 环境——97 个真实用户任务 + 629 个安全测试,横跨银行 / Slack / 旅行 / 办公协作四个域,其中的注入(攻击者)任务明确包含数据外泄(外发用户信用卡、把日历事件发到外部服务器、把云端文件发给陌生收件人)。结论先行:它把「agent 边干正经活、边把看到的私有数据泄露出去」从「我们觉得应该安全」变成一个发布前可回归的隐私 eval——对每个外联工具量出注入外泄成功率(ASR),纳入发布门槛。
MCP 数据流与最小采集
接上一个 MCP server,host 会把我上下文的某个切片交给它——问题是交了哪些字段、这个 server 采集了多少、以及当你接了七八个 server 时凭据在它们之间怎么集中。这是数据流与治理问题,不是攻击:MCP 规范白纸黑字要求「host 必须先取得用户明确同意,才能把用户数据暴露给 server」,Anthropic 的软件目录政策更要求「软件只采集执行其功能所必需的上下文数据,即便为了日志也不得采集多余的对话数据」——现实里却常见一个 server 被授予远超所需的范围(为读一个文件夹却拿到整个 home 目录)、凭据在多个 server 间堆成一个高价值目标、数据经第三方托管的 server 绕道别人的基础设施。结论先行:先画清「每个 server 到底收到我哪些上下文字段、这些字段是不是它所必需」,再谈接不接;把「只连官方 server 就安全」「同意弹一次就够」当成整条边界,是这一层最常见的运营期假安全。
多智能体内部信道泄露
当一件事拆给多个 agent 协作(编排器 + 若干 worker),私有数据不只走「对外最终回答」这一条路——它还沿 agent 之间的消息、共享记忆、工具调用参数这些内部信道流动。多个 2025–2026 的基准(全部预印本 / workshop 级,见下逐条 ⚠️ 标注)一致观察到:内部信道漏出的敏感数据明显多于对外输出,而只看最终输出的审计会漏掉其中很大一部分。结论先行:审计口径若停在「模型对用户说了什么」,就照不到多 agent 系统里最主要的泄露面——内部信道也要审、也要脱敏、也要按需最小共享。
Computer-use 屏幕捕获隐私
GUI / computer-use agent 的工作方式,就是反复截屏——先看清屏幕、再点鼠标敲键盘。它看的不是「任务相关的那一块」,而是当前屏幕上显示的一切:其他打开的应用、弹出的通知、后台的文档、别的浏览器标签、共 享屏 / 投屏时同框的他人数据、乃至恰好可见的密码管理器。这些都随截图一起被送进模型——远超任务所需的环境私有数据。这不是注入(注入归《Agent 工具外联外泄》),也不是 MCP 数据流(归《MCP 数据流与最小采集》),而是输入面本身的过采集:截屏是一条环境隐私的消防水管。结论先行:Anthropic 的 computer use 工具与 OpenAI 的 Operator 都已发货、也都在官方文档里点破了这一面(把敏感数据挪出屏幕、专用 VM 隔离、敏感输入交人接管、sensitive site 要人监督)。真正的边界不在「模型自觉少看」,而在捕获面:截屏前先把无关的、敏感的东西请出这块屏幕。