ToolPrivacyBench: Benchmarking Purpose-Bound Privacy in Tool-Using LLM Agents
作者: Shijing Hu, Liang Liu, Zhu Meng, Zhicheng Zhao
分类: cs.CR, cs.AI
发布日期: 2026-06-26
备注: 24 pages, 7 figures, 15 tables
💡 一句话要点
提出ToolPrivacyBench以解决工具使用LLM代理的隐私评估问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 隐私保护 大型语言模型 多工具系统 信息流审计 任务完成评估
📋 核心要点
- 现有的功能调用基准未能有效评估多工具使用中的隐私信息流,导致隐私过度披露问题。
- ToolPrivacyBench通过审计任务私密信息的流向,确保信息仅被授权工具使用,从而解决隐私评估的不足。
- 实验结果表明,工具执行成功并不等同于隐私信息的适当披露,强调了需要建立信息披露的边界。
📝 摘要(中文)
随着大型语言模型(LLMs)从独立文本生成系统转变为调用外部工具的代理,现有的功能调用基准主要关注任务完成和API正确性,而隐私评估基准则侧重于最终响应或隐私判断。这两种视角均未能捕捉到在执行多工具轨迹中的目的导向信息流。为此,ToolPrivacyBench审计任务私密信息是否仅被路由到授权工具和下游接收者,从而在工具使用过程中评估任务完成和隐私过度披露。该基准包含2150个案例,涵盖合成的隐私敏感业务工作流和现有多工具基准的适配案例,评估结果显示成功的工具执行并不意味着适当的隐私披露。
🔬 方法详解
问题定义:论文要解决的问题是现有评估方法未能有效捕捉多工具使用中的目的导向隐私信息流,导致隐私过度披露的现象。现有方法主要关注任务完成和API的正确性,而忽视了信息在多工具轨迹中的流动。
核心思路:论文提出ToolPrivacyBench,通过审计任务私密信息的流向,确保每个工具仅接收其执行所需的信息,从而实现目的导向的隐私保护。这一设计旨在填补现有评估方法的空白,强调隐私信息的必要性和合规性。
技术框架:ToolPrivacyBench的整体架构包括案例生成、政策知识库构建、代理执行和审计比较四个主要模块。首先生成2150个案例,然后构建政策知识库,接着代理在模拟业务后端上执行任务,最后通过比较记录的工具参数和后端审计日志与政策知识库进行评估。
关键创新:该研究的关键创新在于引入了目的导向的隐私披露边界,强调每个工具仅应接收必要的信息。这一思路与现有方法的本质区别在于,不再仅关注任务完成,而是同时关注隐私信息的合规性。
关键设计:在技术细节上,论文设计了一个政策知识库来定义每个工具的必要信息,并通过审计机制来识别隐私过度披露的情况。具体的参数设置和损失函数设计尚未详细披露,需进一步研究。
🖼️ 关键图片
📊 实验亮点
实验结果显示,在评估的九个广泛使用的代理中,成功的工具执行并不意味着适当的隐私披露,表明隐私过度披露的现象普遍存在。这一发现强调了建立目的导向隐私披露边界的必要性,推动了隐私保护的研究进展。
🎯 应用场景
ToolPrivacyBench的研究成果可广泛应用于需要保护用户隐私的多工具环境,如金融服务、医疗健康和智能助手等领域。通过确保信息仅在必要时被共享,该基准能够提升用户信任,减少隐私泄露的风险,具有重要的实际价值和未来影响。
📄 摘要(原文)
Large language models (LLMs) have increasingly moved from standalone text generation systems to agents that invoke external tools, access environments, and execute multi-step tasks. However, conventional function-calling benchmarks mainly evaluate task completion and API correctness, while privacy evaluation benchmarks typically focus on final responses or privacy judgments. Neither perspective captures purpose-bound information flow across an executed multi-tool trajectory. Motivated by this limitation in current agent evaluation, ToolPrivacyBench audits whether task-private atoms are routed only to authorized tools and downstream sinks, thereby evaluating both task completion and privacy over-disclosure during tool use. The benchmark contains 2,150 cases, including 1,150 fully synthetic privacy-sensitive business workflows and 1,000 cases adapted from existing multi-tool and function-calling benchmarks. Each case is represented by a policy knowledge base. After an agent executes against mock business backends, the evaluator compares recorded tool arguments and backend audit logs with this policy knowledge base. The evaluation covers nine widely used agents to characterize purpose-bound privacy over-disclosure. The results show that successful tool execution does not imply appropriate privacy disclosure: an agent may complete a task while transmitting unnecessary private information through intermediate tool calls. ToolPrivacyBench therefore formalizes a need-to-know disclosure boundary, under which each tool should receive only the information necessary for its stated purpose, and uses trajectory-level auditing to identify privacy over-disclosure in multi-tool workflows.