跳到主要内容

2 篇文档带有标签「数据最小化」

查看所有标签

Computer-use 屏幕捕获隐私:为了操作界面,我把整个屏幕都看进去了——包括与任务无关的一切

一句话摘要:GUI / computer-use agent 的工作方式,就是反复截屏——先看清屏幕、再点鼠标敲键盘。它看的不是「任务相关的那一块」,而是当前屏幕上显示的一切:其他打开的应用、弹出的通知、后台的文档、别的浏览器标签、共享屏 / 投屏时同框的他人数据、乃至恰好可见的密码管理器。这些都随截图一起被送进模型——远超任务所需的环境私有数据。这不是注入(注入归《Agent 工具外联外泄》),也不是 MCP 数据流(归《MCP 数据流与最小采集》),而是输入面本身的过采集:截屏是一条环境隐私的消防水管。结论先行:Anthropic 的 computer use 工具与 OpenAI 的 Operator 都已发货、也都在官方文档里点破了这一面(把敏感数据挪出屏幕、专用 VM 隔离、敏感输入交人接管、sensitive site 要人监督)。真正的边界不在「模型自觉少看」,而在捕获面:截屏前先把无关的、敏感的东西请出这块屏幕。

MCP 数据流与最小采集:接上一个 MCP server,我的哪些私有上下文被交出去、谁在过度采集

一句话摘要:接上一个 MCP server,host 会把我上下文的某个切片交给它——问题是交了哪些字段、这个 server 采集了多少、以及当你接了七八个 server 时凭据在它们之间怎么集中。这是数据流与治理问题,不是攻击:MCP 规范白纸黑字要求「host 必须先取得用户明确同意,才能把用户数据暴露给 server」,Anthropic 的软件目录政策更要求「软件只采集执行其功能所必需的上下文数据,即便为了日志也不得采集多余的对话数据」——现实里却常见一个 server 被授予远超所需的范围(为读一个文件夹却拿到整个 home 目录)、凭据在多个 server 间堆成一个高价值目标、数据经第三方托管的 server 绕道别人的基础设施。结论先行:先画清「每个 server 到底收到我哪些上下文字段、这些字段是不是它所必需」,再谈接不接;把「只连官方 server 就安全」「同意弹一次就够」当成整条边界,是这一层最常见的运营期假安全。