[LG]《The Sum Leaks More Than Its Parts: Compositional Privacy Risks and Mitigations in Multi-Agent Collaboration》V Patil, E Stengel-Eskin, M Bansal [UNC Chapel Hill] (2025)
多智能体系统中的隐私风险远超单点泄露,组合信息的累积效应揭示了全新威胁与防护策略。
• 组合隐私泄露定义:单个智能体输出虽无敏感信息,但多智能体间的交互与输出组合,使攻击者可推断出敏感全局属性,突破传统单模型隐私防护边界。
• 威胁模型创新:以交互式POMDP模拟攻击者与防御者状态演进,强调双方局部观察与不完全信息的动态博弈,真实还原多智能体部署环境中的隐私泄露机制。
• 评估框架设计:构建结构化、多智能体场景,敏感信息拆分存储于不同智能体,通过攻击者的分步查询与组合推理,量化组合泄露风险与防御效果。
• 防御策略突破:
- 理论心智防御(ToM):智能体推测提问者意图,识别潜在敌意查询,能显著提升敏感查询阻断率(最高达97%),但可能影响正常服务效率。
- 协同共识防御(CoDef):多智能体共享查询历史与判断,通过多数投票决定是否响应,实现隐私保护与功能保持的最佳平衡(平衡表现达79.8%)。
• 实验洞见:传统链式推理(CoT)防御效果有限,尤其在中小模型中易被突破;更高能力模型(如GPT-5)固有防护力更强,但协同防御依然是提升隐私保障的关键。
• 深度推理关联:防御机制中,越复杂的推理层级(包含多步骤、多智能体交叉推断)对应更强的隐私保护能力,协同机制促发更丰富的推理策略。
• 长期启示:
1. 多智能体系统隐私保护不能孤立设计,必须纳入跨智能体的协同与对抗动态,构建整体防护架构。
2. 识别并建模攻击者意图是提升防御有效性的核心,但需权衡对正常功能的影响,避免过度阻断。
3. 共享与投票机制为多智能体隐私防护提供新的范式,推动从单点安全向集体智能的演进。
心得:
1. 组合泄露挑战了传统隐私保护的边界,强调了分布式数据碎片化对整体隐私风险的放大效应。
2. 模拟对抗与合作的多智能体状态动态,为设计更智能、适应性强的隐私防御策略提供了理论基础。
3. 协同共识机制不仅提升隐私安全,同时保持服务的实用性,展示了多智能体系统防护未来的发展方向。
详见🔗arxiv.org/abs/2509.14284
多智能体系统隐私保护组合推理理论心智协同防御大语言模型
