← 返回信息流
技术博客arXiv cs.AI·3 小时前

Minim:通过可信本地清洗实现隐私最小化视图

原标题:Minim: Privacy-Aware Minimal View for Agents via Trusted Local Sanitization

速览

现代大模型智能体依赖丰富的UI状态进行动作定位,但全量传输易泄露敏感上下文。Minim提出一种可信本地代理,基于情境完整性学习元素敏感度与任务必要性双分,执行三元披露策略。实验表明,该方法在保留关键语义的同时,显著降低了无关敏感信息的泄露风险。

AI 深度解读

Minim:通过可信本地清洗为智能体提供隐私感知的最小化视图

背景

随着基于大型语言模型(LLM)的自主智能体(Autonomous Agents)在复杂数字环境中的应用日益广泛,这些智能体越来越依赖于对丰富用户界面(UI)状态观测数据的利用,以实现可靠的操作定位(Action Grounding)。然而,当前的部署模式存在显著的隐私隐患:许多系统在将 UI 状态发送给远程推理服务器时,往往传输完整的 UI 快照,即便其中大部分元素与当前任务毫无关联。

这种“全量传输”的做法导致敏感但非必要的上下文信息(如认证代码、私人通知、后台应用程序状态等)极易泄露。现有的隐私保护机制通常难以在保留智能体完成任务所需语义信息的同时,有效剔除这些无关的敏感数据。因此,亟需一种能够在客户端本地、在数据离开设备之前,智能且最小化地处理 UI 观测数据的方法。

核心内容

针对上述问题,研究团队提出了 MINIM(Privacy-Aware Minimal View for Agents via Trusted Local Sanitization),这是一种基于情境完整性(Contextual Integrity, CI)理论的可信本地代理(Trusted Local Broker)。MINIM 的核心机制是在任何观测数据离开设备之前,在客户端侧执行隐私感知的最小化处理。

1. 双重评分表示(Dual-Score Representation)

MINIM 为每个 UI 元素学习一种双重评分表示,具体包含两个维度的预测:

  • 固有敏感性得分(Inherent Sensitivity Score, $s$):评估该 UI 元素本身包含敏感信息的程度(例如,密码输入框或私人消息通知的 $s$ 值较高)。
  • 任务条件必要性得分(Task-Conditioned Necessity Score, $n$):评估该 UI 元素对于当前特定任务的必要程度(例如,登录按钮对于登录任务是必要的,而侧边栏广告则不是)。

2. 三元披露策略(Ternary Disclosure Policy)

基于上述两个得分,MINIM 驱动一种三元披露策略,对 UI 元素进行差异化处理:

  • 保留(Keep):对于非敏感且对任务必要的元素,保持原样。
  • 抽象(Abstract):对于敏感但必要的元素,保留其结构或功能属性,但去除或模糊化具体的敏感内容(例如,保留“登录按钮”的位置和标签,但隐藏已填入的密码)。
  • 移除(Remove):对于非敏感且对任务无关的元素,直接移除。

3. 情境完整性感知目标优化(CI-Aware Objective Optimization)

为了优化这一过程,研究团队设计了一个 CI 感知的目标函数。该目标函数对“必要性错误”施加了更强的惩罚,特别是当涉及高风险内容时。这意味着,如果模型错误地认为一个高风险敏感元素是“不必要”的(从而将其移除),将会受到严厉的惩罚。这种机制使得 MINIM 能够在激进地剪枝无关内容的同时,严格保护任务关键信息不被误删。

4. 实验验证

研究团队在源自 WebArena 的真实世界 UI 观测数据上进行了实验。结果表明,MINIM 能够显著减少与任务无关的敏感信息泄露,同时保留了任务关键的语义上下文以及智能体执行可靠操作所需的交互功能(Interactive Affordances)。

关键要点

  • 本地化处理:MINIM 是一个可信的本地代理,所有隐私敏感数据的清洗和最小化操作均在客户端设备本地完成,数据在离开设备前已完成脱敏。
  • 理论根基:该方法基于情境完整性(Contextual Integrity, CI)理论,强调信息流动应符合特定情境下的规范,而非简单地屏蔽所有敏感词。
  • 双重评估维度:通过预测“固有敏感性”和“任务必要性”两个独立维度,实现了对 UI 元素的精细化分类处理,避免了“一刀切”的隐私保护带来的功能损失。
  • 三元处理机制:采用“保留、抽象、移除”三种策略,相比简单的删除或保留,能更好地平衡隐私保护与智能体的任务执行能力。
  • 风险加权优化:在模型优化阶段,对高风险内容的必要性误判施加更重的惩罚,确保关键敏感信息在必要时不被错误剔除。
  • 实证效果:在 WebArena 基准测试中,MINIM 成功降低了无关敏感数据的泄露率,同时未损害智能体在复杂 UI 环境中完成任务的性能。

意义与影响

MINIM 的提出为解决 LLM 智能体在部署过程中的隐私与效用矛盾提供了新的思路。

首先,它改变了传统上依赖远程服务器进行隐私过滤的模式,将隐私控制权交还给用户设备,符合数据最小化原则(Data Minimization Principle),有助于满足 GDPR 等严格的数据隐私法规要求。

其次,MINIM 证明了通过引入情境完整性理论,可以在不牺牲智能体操作精度的前提下实现有效的隐私保护。这对于推动自主智能体在金融、医疗、个人助理等高敏感领域的大规模落地具有重要意义。

最后,该研究为 UI 状态观测数据的预处理建立了一个新的标准框架,即“隐私感知最小化视图”。这不仅适用于当前的 LLM 智能体,也可能为未来更复杂的具身智能(Embodied AI)或多模态智能体在交互环境中的隐私保护提供借鉴。

相关推荐

查看原文 →arxiv.org