必读 12 条
全部 44 条太多,不知从哪读起?先读这 12 条。
怎么选的(写在前面,免得变成主观清单):先取 severity: 高 的条目,再按两条轴粗排——做 LLM 功能的工程师最早会碰上、其中的假安全代价最高(数据一旦出边界就收不回)。有 3 条严重度虽为「中」,但属于不学就会在第一个项目里就用错的治理与形式防御基础(数据边界、机器遗忘、DP),也收了进来。读完这 12 条,你已经避开了最常见、代价最高的隐私假安全。
想理解这些泄露为什么会发生,去机制索引;上线前照最小隐私基线过一遍;想看现实里的代价,读真实事故与实证索引。
交出去 / 进了权重,就收不回
- 「他们不拿去训练」只是数据边界的一格——条款要逐项核、打日期,还会变。
- 喂进训练的私有数据,外部攻击者可能让我逐字吐回来——对齐和聊天封装挡不住。
- 训练语料里的个人信息,我会在对话里复现——脱敏能减、不能根除。
- 删了源数据不等于我忘了,而「证明真忘了」比遗忘本身更难。
你以为匿名 / 隔离了,其实没有
- 把文本变成向量不等于匿名——向量能被还原回原文、甚至逐字。
- 检索不按调用者权限过滤,你的知识库就是别人的知识库。
- 共享记忆 / 缓存不按用户隔离,我会把一个人的数据端给另一个人——真实事故已经发生过。
- 判定「这条数据在不在训练集」是多数隐私攻击的根——成员身份本身就敏感。
Agent 与推理时代的新明文面
- 藏在内容里的一段指令,就可能驱使我把私有上下文经工具发出去——零点击外泄已在主流产品上发生。
- 系统提示词 / 会话上下文 / 工具结果不是秘密,能被套出来。
- 我「想」的过程不是私密的 ——思考越多、漏得越多。