任务完成,隐私泄露:智能体在工具调用间过度共享
2026 年 6 月的一项基准测试表明,使用工具的智能体可以在完成任务的同时,悄悄地把不必要的私密数据传给中间工具——成功并不等于遵守了「按需知晓」。
这是什么?
ToolPrivacyBench 是一个基准测试,由 Shijing Hu、Liang Liu、Zhu Meng 和 Zhicheng Zhao 于 2026 年 6 月 26 日发布在 arXiv(2606.28061)上,用于衡量评估使用工具的 LLM 智能体时的一个盲区:每个工具是否只收到它真正需要的私密数据。
它所针对的缺口非常具体。传统的函数调用基准测试评估的是任务完成度和 API 调用的正确性——智能体是否用有效参数调用了正确的工具并完成了工作?而隐私基准测试通常检查智能体的最终回答,或让它做一个隐私判断。两者都没有监控多工具执行过程的中间环节。ToolPrivacyBench 恰恰做了这件事:它审计整个执行轨迹,检查「任务私密原子」——离散的敏感信息片段——是否只流向了被授权接收它们的工具与下游汇点。
工作原理
该基准测试的 2150 个案例中,每一个都配有一个策略知识库,描述哪些信息可以到达哪个工具或汇点。在这些案例中,1150 个是完全合成的隐私敏感业务工作流,1000 个改编自现有的多工具与函数调用基准测试。
评估是在轨迹层面进行的,而非回答层面。智能体针对模拟的业务后端运行,系统记录两样东西:实际传递给每次工具调用的参数,以及后端的审计日志。随后由一个评估器将这些记录下来的数据流与该案例的策略知识库进行比对。如果一个私密原子到达了并不需要它的工具,就被标记为过度披露——无论任务是否成功。这是一套评估框架,而非攻击:它针对已声明的策略检查智能体的正常行为,不涉及任何利用载荷。
作者所形式化的框架是一条**「按需知晓」的披露边界**:每个工具只应收到其声明用途所必需的信息。换句话说,是与用途绑定的信息流——与情境完整性和最小权限相同的直觉,被应用到智能体注入中间工具调用的参数上。
为什么重要
核心发现令人不安,也容易被忽视:在九个被广泛使用的智能体上,一次成功的工具执行并不意味着恰当的隐私披露。智能体可以正确完成被指派的任务,却在过程中通过中间工具调用传出了不必要的私密信息。
这把产品团队常常混为一谈的两件事拆开了。绿色的「任务成功」信号,对智能体为达成该结果而泄露了什么只字未提。在真实部署中,这些中间工具往往是第三方 API、日志服务、搜索后端或下游子智能体——每一个都是如今持有本不需要的数据的额外一方。一个解决了工单的客服智能体,可能已经把完整的客户档案推送给了一个只需要订单号的查询工具。
这是提示注入低调、非对抗的表亲。不需要任何攻击者;过度共享就是智能体面对一个合理任务时的默认行为。它之所以重要,是因为智能体越来越多地被接入工具链,每一次跳转都是一个潜在汇点,也因为当前的评估实践——以完成度为优化目标——实际上在奖励那些抓取并转发了超出所需上下文的智能体。2026 年 6 月一篇关于 LLM 智能体隐私的综述,以及更早关于工具编排泄露的研究,都指向同一方向:私密数据逃逸的地方是编排层,而不只是最终回答。
防御
ToolPrivacyBench 是一个测量工具,但其「按需知晓」框架可直接映射为面向任何部署工具型智能体者的具体缓解措施:
- 在工具边界强制执行按需知晓。 为每个工具明确定义它可以接收哪些字段,并在调用离开智能体之前剥离或拒绝其余一切。不要指望模型自我约束。
- 审计轨迹,而不仅是回答。 记录并审查实际的工具参数和后端访问,然后将其与一条明确的披露策略进行比对。一个「成功」的任务仍可能通不过隐私审计。
- 尽量减少转发给工具的上下文。 传递标识符和受限引用,而非完整档案;尽可能晚、尽可能窄地解析敏感数据。
- 将每个工具和子智能体视为独立的一方。 像在服务之间那样在跳转之间施加数据流控制,包括第三方 API 和日志管道。
- 将过度披露纳入部署前评估。 在衡量任务成功率的同时衡量隐私过度披露,并在任何工具、提示或模型版本变更后重新运行。
状态
| 项目 | 详情 |
|---|---|
| 成果 | ToolPrivacyBench,arXiv:2606.28061 |
| 发布 | 2026 年 6 月 26 日 |
| 类型 | 评估基准(防御 / 测量) |
| 范围 | 工具型智能体中与用途绑定的隐私过度披露 |
| 规模 | 2150 个案例(1150 个合成工作流 + 1000 个改编) |
| 评估的智能体 | 九个被广泛使用的智能体 |
| 关键发现 | 任务成功并不意味着「按需知晓」的披露 |
常见问题
什么是 ToolPrivacyBench?
ToolPrivacyBench 是 arXiv 论文 2606.28061(2026 年 6 月 26 日)中描述的一个基准测试,用于衡量工具型 LLM 智能体在多工具任务中是否过度共享私密数据。它审计整个执行轨迹,以验证敏感信息只到达被授权接收它的工具。
这里的「与用途绑定的隐私」是什么意思?
意思是每个工具只应收到其声明用途所必需的信息——一条「按需知晓」的披露边界。把额外的私密数据传给一个并不需要它的工具,即算作过度披露,哪怕整体任务成功完成。
为什么任务完成不足以判断一个智能体是安全的?
因为完成度与披露是相互独立的。基准测试发现,智能体可以正确完成一项任务,却仍通过中间工具调用让不必要的私密信息流转。「成功」信号并不能告诉你智能体向中间工具与汇点泄露了什么。
这与提示注入有何不同?
提示注入需要恶意内容来劫持智能体。而这里的过度披露是非对抗的:它是智能体在合法任务上的默认行为,悄悄转发了超出所需的私密数据,不涉及任何攻击者。
开发者如何减少过度披露?
按工具设置字段白名单,转发受限标识符而非完整档案,针对明确策略审计实际的工具参数,并将过度披露纳入部署前评估,而不是只衡量任务成功率。