智能体获取的远多于它披露的:在数据获取阶段审计隐私
2026 年 6 月的一项基准测试检查敏感数据进入智能体上下文的那一刻,而不仅是它随后披露的内容——结果发现过度收集十分普遍。
这是什么?
大多数针对 LLM 智能体的隐私评估只问一个问题:敏感数据是否离开了系统? 它们检查智能体的最终回答或对外动作,核查某个电话号码、某项医疗细节或同事的薪资是否出现在输出中。2026 年 6 月发表于 arXiv 的一项基准测试——PrivacyPeek: Auditing What LLM-Based Agents Acquire, Not Just What They Say(arXiv:2606.00152)——指出这忽略了一个更早、后果更严重的失效。在能够泄露任何东西之前,智能体首先必须获取数据:通过工具调用、检索步骤或数据库查询把它拉入上下文。该论文将隐私问题重新聚焦于这一收集时刻:不是”这条数据本该被送出去吗?“,而是”智能体本该收集它吗?”
这一视角很重要,因为数据最小化原则真正发挥作用的地方正是获取阶段。一个为了回答关于明天会议的问题而悄悄读取你整个日程的智能体,即便从未向你复述任何一条无关事件,也已经违反了最小权限原则。
工作原理
PrivacyPeek 区分了大多数基准测试混为一谈的两件事。第一是 Probe Elicitation——即那种常见的测试:能否诱使智能体说出敏感内容。第二,也是该论文的贡献,是 Acquisition Inspection(获取审查):读取智能体的工具调用轨迹,以检测它何时去获取了超出所交付任务范围的数据。
具体而言,该基准提供一项任务、一个带工具的环境,以及任务合法所需数据的定义。智能体运行时,其工具调用序列被记录下来并与该范围进行比对。如果任务是”为周四找一家办公室附近的餐厅”,而轨迹中包含一次获取用户已保存的支付方式或无关联系人的调用,就会被标记为过度获取——无论它是否出现在回复中。作者通过人在环路的流程构建案例集,产生了1,182 个案例,涵盖 7 种获取行为和 16 个应用领域,并针对 4 个模型家族的 10 个智能体进行了评测。
主要结论是:在受测智能体中,不必要地获取敏感信息的现象十分普遍——这是任何只读取最终输出的评估都看不见的模式。这与同月发表的综述 Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents(arXiv:2606.26627)相印证,并将 Beyond Jailbreaking: Auditing Contextual Privacy in LLM Agents(arXiv:2506.10171)等早期工作的情境完整性视角,从智能体所披露的内容延伸到它所触及的内容。
为何重要
这一缺口是架构性的,而非表面的。只看输出的隐私测试可能把一个智能体认证为”安全”,而它却在例行地吸取本不该读取的数据。即便没有泄露,这种暴露也是真实存在的:被获取的数据停留在上下文窗口中,下游的提示注入可以将其外泄;它落入平台保留的日志与追踪记录;并扩大了此后任何一次入侵的影响半径。一个连接着宽泛工具——邮件、文件、日程、CRM——且习惯于过度收集的智能体,是一项长期负债,因为在任何攻击者出现之前,敏感材料就已经在边界之内了。
它还打破了一个常见的合规假设。像 GDPR 这样的制度下,最小化义务针对的是收集与处理,而不仅仅是披露。一个读取内容远超任务所需的智能体,本身就是一个最小化问题,而纯粹以输出为中心的审计永远无法把它揭示出来。
防御
把获取当作一等控制点来对待,而不是假设一个干净的回答就意味着干净的行为。
审计轨迹,而不仅是输出。 记录每一次工具调用与检索,并对照任务实际所需的数据进行评估——这正是 Acquisition Inspection 所形式化的做法。只读取最终回复的测试套件会放过那些过度收集的智能体。
将工具范围绑定到任务。 优先使用范围狭窄、用途明确的工具(“获取周四的日程事件”),而非宽泛的工具(“读取全部日程数据”),使智能体在物理上无法获取超出范围的数据。将工具的可用性绑定到当前任务,而不是默认授予全部工具集。
在边界处强制最小化。 在智能体与其数据源之间放置一个策略层,能够拒绝或收窄范围超出任务的请求,而不是依赖模型自我克制。
尽量减少对已获取数据的留存。 一旦不再需要,就从上下文、日志和追踪中删除敏感字段,以免过度收集悄然变成长期暴露。
使用具备获取意识的基准进行测试。 采用能够区分智能体所说与所收集的评估;这两种失效模式需要不同的修复手段,而其中只有一种会出现在对话记录里。
状态
| 方面 | 详情 |
|---|---|
| 来源 | PrivacyPeek(arXiv:2606.00152),2026 年 6 月发表 |
| 类别 | 获取阶段的隐私泄露——将敏感数据过度收集进智能体上下文 |
| 方法 | 双重评估:Acquisition Inspection(工具轨迹审计)+ Probe Elicitation |
| 范围 | 1,182 个案例、7 种获取行为、16 个应用领域 |
| 测试对象 | 4 个模型家族的 10 个 LLM 智能体 |
| 发现 | 不必要地获取敏感信息的现象十分普遍 |
| 性质 | 研究基准/测量——无 CVE,非活跃利用 |