Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents
作者: Nada Lahjouji, Ashwin Gerard Colaco
分类: cs.CR, cs.AI
发布日期: 2026-06-25
备注: 17 pages, 4 figures, 7 tables
💡 一句话要点
提出数据中心化视角以解决LLM代理隐私问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 大型语言模型 隐私保护 数据中心化 信息流控制 多步骤工作流 跨会话推理 治理机制
📋 核心要点
- 核心问题:LLM代理在处理敏感数据时,隐私保护面临多重挑战,现有方法未能有效应对多步骤工作流和跨会话推理泄露。
- 方法要点:本文提出从数据中心化的视角对隐私风险进行分类和治理,强调信息流控制作为主要治理机制。
- 实验或效果:研究发现,信息流控制是唯一覆盖复合和跨会话推理泄露的治理机制,且当前缺乏统一的隐私政策基准。
📝 摘要(中文)
随着大型语言模型(LLM)代理越来越多地查询数据库、搜索文档、调用外部API并记忆过去的交互,隐私问题变得愈加复杂。本文从数据中心化的视角对LLM代理的隐私进行调查,组织了相关研究,重点关注代理接触的数据源及其带来的隐私风险。我们对数据源进行了分类,分析了每种数据源的隐私风险及其治理机制,并识别出当前研究中的空白,提出了未来研究的开放问题。我们的目标是为分散的文献提供一个参考框架,以便未来的工作能够有共同的视角。
🔬 方法详解
问题定义:本文旨在解决大型语言模型代理在处理敏感数据时的隐私保护问题。现有方法在多步骤工作流和跨会话推理泄露方面存在不足,导致敏感信息的潜在泄露。
核心思路:论文提出从数据中心化的视角对隐私风险进行系统性调查,强调数据源的分类及其带来的隐私风险,旨在为未来研究提供一个统一的框架。
技术框架:整体架构包括数据源分类、隐私风险分析、治理机制评估和基准测试映射。主要模块包括数据源识别、风险评估和治理机制的设计。
关键创新:最重要的技术创新在于提出信息流控制作为治理机制,能够同时应对复合和跨会话推理泄露,这是现有方法所缺乏的。
关键设计:在设计中,重点关注数据源的多样性和隐私风险的复杂性,采用了多种治理机制的组合,以确保对不同类型数据源的有效保护。
📊 实验亮点
实验结果表明,信息流控制机制在处理复合和跨会话推理泄露方面表现优异,显著提升了隐私保护的有效性。当前缺乏统一的隐私政策基准,限制了代理在不同数据源间的安全操作。
🎯 应用场景
该研究的潜在应用领域包括智能助手、自动化客户服务和数据分析等场景,能够为这些领域中的隐私保护提供理论支持和实践指导。未来,随着LLM技术的广泛应用,本文的框架将有助于制定更为严格的隐私保护政策,提升用户信任。
📄 摘要(原文)
Large language model agents increasingly query databases, search document collections, call external APIs, remember past interactions, and act on a user's behalf. As they move from answering questions to operating over sensitive data, privacy becomes harder to enforce. An agent touches many data sources, runs multi-step workflows, keeps state across sessions, and acts with delegated permissions. Sensitive information can therefore leak not only through its final answer but through the queries it issues, the intermediate results it handles, the memory it writes, and the messages it exchanges with other agents. We survey the privacy of LLM agents from a data-centric view, organizing the field around the data an agent touches rather than by attack type, and we use data agent as shorthand for an LLM agent that works with data. Research on these risks is active but scattered across retrieval-augmented generation, text-to-SQL interfaces, agent memory, prompt injection, access control, and contextual privacy. This survey brings that work together: we taxonomize the data sources an agent touches, the privacy risks each source creates, and the governance mechanisms that address them; we map the benchmarks used to measure these risks and identify what is missing; and we set out the open problems. Two findings recur: among governance mechanisms only information-flow control covers both compositional and cross-session inference leakage, the two least-protected risks; and no benchmark drives an agent across its data surfaces under one privacy policy, the instrument the field most lacks. Our goal is a reference that situates the scattered literature and gives future work a common framing.