机器之心发布

AI 顾忌期间 ，Agent 越来越像一个真实的私东说念主助理。

它记起你的民风，知说念你的日程，深远你的健康状态，以致能在始终对话中逐渐形成一套对于你的「个东说念主画像」。但问题也随之而来：如若这些顾忌都要上云，秘密还安全吗？

4 月 22 日，OpenAI 开源了一个名为 privacy-filter 的轻量级秘密过滤模子，试图科罚大模子系统中的 PII 检测与脱敏问题。

OpenAI Privacy Filter 地址：https://openai.com/zh-Hans-CN/index/introducing-openai-privacy-filter/

只是两周后，顾忌张量 MemTensor 团队拿出了一个更激进的谜底。该决策由顾忌张量 MemTensor 与荣耀 HONOR 团队联结研发，同济大学也参与其中 —— 这亦然端侧厂商与顾忌基础设施团队初度在「Agent 秘密」这件事上深度诱骗。

他们证实开源了面向端云协同 Agent 的秘密保护框架与系列模子 MemPrivacy。更令东说念主不测的是，在通常的真实对话秘密索求任务上，MemPrivacy 的 F1 分数最高比 OpenAI privacy-filter 进步 50.47 %。

这并不是一次临时跨界。

在此之前，顾忌张量如故推出 MemOS，把 Agent 顾忌从向量库或 RAG 插件，提高为可不断、可调遣、可演化的系统资源：记什么、怎么检索、怎么更新、怎么治理，都被放进一套「顾忌操作系统」里。

MemPrivacy 更像是 MemOS 往端云协同场景当然长出的秘密层 —— 当 Agent 驱动始终记着用户偏好、健康状态、账号笔据和责任高下文时，问题就不单是「能弗成记着」，而是「能弗成安全地记着」。这也让顾忌张量作念 MemPrivacy 显得贼胆心虚：它不是从通用 PII 打码起程，而是径直从 Agent 始终顾忌的真实使用场景起程，重新界说秘密类型、保护级别和占位符机制。

发布今日，MemPrivacy 即上榜 Hugging Face Daily&Weekly Papers TOP1。

这不是一个简短的「秘密打码用具」。

它对准的是下一代个性化 Agent 最中枢、也最辣手的问题：怎么让云霄大模子不绝领有始终顾忌和个性化才智，同期又不让用户的明锐数据真实离开腹地？

换句话说，MemPrivacy 想作念的事情是：让 Agent 可用，但不可见。

论文标题：MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents

OpenAI 入局

但 8 个标签撑不起 Agent 的始终顾忌

OpenAI 的 privacy-filter 念念路很简短：扫描文本，识别秘密片断，然后替换谚语义标签。

比如，把用户输入中的东说念主名「Maya」替换成 [PRIVATE_PERSON]。

这套模子领有 1.5B 参数，其中激活参数约 50M，采纳双向 Token 分类架构，辅助 128k 高下文，主打高隐隐量 PII 检测与掩码。

比较传长入律替换成 *** 的打码面容，这诚然如故进了一步：它至少保留了一部分语义。

但放到端云 Agent 的始终顾忌场景里，问题很快暴显现来了。

OpenAI privacy-filter 只提供 8 类基础秘密标签。对于野蛮表单脱敏，这也许够用；但对于一个需要深远用户、始终顾忌用户、以致调用用具替用户奉行任务的 Agent 来说，这个粒度太粗了。

银行卡号、社保编号、面容档案号，可能都会被塞进归并个 [ACCOUNT_NUMBER]。登录密码、数据库笔据、API Key、里面密钥，也可能十足变成 [SECRET]。

这就像把统共危机物品都贴上「危机」两个字。

安全是安全了极少，但语义也被抹平了。

真实的问题在于，Agent 不是数据库清洗剧本。它需要深远高下文、保留干系、形成顾忌，并在畴昔的对话中不绝使用这些信息。

当用户说「我的血压今天是 160/110」时，这不是野蛮数字，而是健康意见；当用户说「这是我公司数据库的联贯串」时，这也不是野蛮文本，而是高危笔据。粗粒度标签一朝识别不到，就会漏；一朝识别错，就会烧毁语义。

于是，秘密过滤干涉了一个两难场面：

漏判，用户秘密裸奔；误判，Agent 就地失忆。

这恰是下一代个性化 Agent 最难绕开的矛盾。

MemPrivacy 登场

不是抹掉秘密，而是给秘密换一张「腹地身份证」

顾忌张量 MemTensor 团队提倡的 MemPrivacy，中枢念念路叫作念：腹地可逆伪匿名化。

它不是把秘密信息简短删除，也不是替换成无意旨的星号，而是在端侧完成一次更缜密的「偷梁换柱」。

统共这个词经由不错拆成三步。

第一步，端侧上行脱敏。

用户在手机、PC 等边际成立上与 Agent 对话时，腹地会先运行一个轻量级 MemPrivacy 模子。它负责识别对话中的秘密片断，并根据用户配置的保护品级进行处理。

如若文本里出现「我的血压今天是 160/110」，MemPrivacy 不会径直把它变成 ***，而是替换为访佛 这么的细粒度类型化占位符。

真实血压值与占位符之间的映射干系，只保存在腹地数据库里。

第二步，云霄安全处理。

云霄大模子看到的是：「我的血压今天是 。」

它看不到 160/110 这个明好意思丽锐数据，但依然知说念这里是一个健康意见，因此不错不绝进行推理、生成建议、形成顾忌，以致调用辩论用具。

第三步，端侧下行收复。

当云霄回报「您的血压 偏高」时，腹地系统再把占位符收复成真实数值，最终呈现给用户。

在用户体验上，这个过程简直是透明的。

但在系统架构上，关节明锐数据从未真实离开腹地。

这即是 MemPrivacy 最迫切的规划：让云霄看懂结构，但看不到明文。

三种路子对比

无保护裸奔，全过滤失忆，MemPrivacy 保留身手

在端云 Agent 场景里，传统秘密保护约略有两种极点决策。

第一种是无保护。

用户原始数据径直上云。云霄模子诚然不错圆善深远高下文，个性化后果最佳，但健康数据、私东说念主邮箱、家庭住址、账号笔据等明锐信息也会圆善线路。

在数据合规越来越严格的今天，这简直是在走钢丝。

第二种是完全过滤。

统共秘密内容都被替换成 *** 或径直删除。看起来很安全，但代价是 Agent 透顶失去关节语义。用户想让它记着健康情景、财务拘谨、责任高下文，K体育(中国)2026世界杯官方IOS|Android手机app下载它却只可看到一派空缺。

这类 Agent 看似安全，现实上如故丧失了「始终个性化」的基础。

MemPrivacy 遴荐的是第三条路：细粒度类型化占位符。

云霄不知说念你的真实血压是些许，但知说念这是一个健康意见；不知说念你的私东说念主邮箱是什么，但知说念这里有一个邮箱；不知说念你的 API Key 明文，但知说念这里是一个高危笔据。

这种规划保住了两个东西：一是秘密领域，二是语义结构。

也正因如斯，MemPrivacy 才有契机在秘密保护和 Agent 效劳之间获取均衡。

硬核实力

F1 分数甩开 OpenAI 超 50 点，完爆 GPT-5.2

为了考据 MemPrivacy 的才智，计议团队构建了一个新的评测基准 MemPrivacy-Bench。这个基准狡饰 200 个用户的对话历史，包含杰出 15.5 万个秘密项，并辅助中英双语秘密信息检测。

此外，为了测试泛化才智，团队还在外部个性化长文本对话数据集 PersonaMem-v2 上进行了 OOD 交叉测试。

在这两大基准的索求准确率（秘密文本、级别、类型的概述 F1 分数）较量中，MemPrivacy 均展现出了碾压级的上风：

远超 OpenAI 专项模子：

在 MemPrivacy-Bench 上，OpenAI privacy-filter 的概述 F1 分数唯有 35.50%。

而 MemPrivacy-4B-RL 达到了 85.97%，两者差距高达惊东说念主的 50.47%！即使是在跨散布的 PersonaMem-v2 数据集上，MemPrivacy 依然最初 OpenAI 近 9%。

原因也很明晰：OpenAI privacy-filter 的上风在速率，非自追忆 Token 分类架构带来了很高隐隐量；但它的问题在于标签狡饰窄、颗粒度粗，对复杂高下文和汉文场景的适配不及。

MemPrivacy 则针对 Agent 长顾忌场景重新界说了秘密类型、保护级别和查验标的，因此在真实对话中更接近现实需求。

更特风趣的是，MemPrivacy 不单是赢了 OpenAI 的专项小模子。

越级挑战通用大模子：

即使濒临参数目极其庞杂的最强通用模子 GPT-5.2、Gemini-3.1-Pro 以及 DeepSeek-V3.2-Think，MemPrivacy-4B 乃至仅有 0.6B 的小型版块在两个数据集上均已矣了碾压。

这证明，秘密索求不是简短堆大参数就能科罚的问题。

它更像一个高度结构化、强拘谨、强领域感的任务。真实迫切的不是模子有多大，而是它是否深远「什么信息该被保护、该保护到什么进程、保护后还能弗成不绝被 Agent 使用」。

不让 Agent 变傻

系统效劳耗损最低不到 1%

秘密保护还有一个更现实的问题：保护得再好，如若 Agent 变傻了，亦然忽地。

这亦然好多油滑脱敏决策的死穴。

用户说：「我最近血压偏高，帮我记着，以后安排通顺谋略时详实极少。」

如若系统把血压、健康状态、通顺偏好一齐抹掉，云霄模子诚然安全了，但它也没法再提供真实个性化的劳动。

MemPrivacy 的类型化占位符简直能保留顾忌系统的效劳吗？

团队在业界几个主流顾忌系统平台上进行了端到端测试。统共底座均采纳长入的 GPT-4.1 模子。

实验收尾令东说念主立志：

当采纳传统的不可逆掩码（Irreversible Masking）时，三大顾忌系统的准确率差异暴跌了 26.67%、41.87% 和 16.99%，模子简直处于失忆的瘫痪状态。

而在 MemPrivacy 保护下（最高驻防级别 PL4+PL3+PL2 全开），系统效劳耗损被死死摈弃在 0.71% ~ 1.60% 之间。如若用户仅遴荐保护最高风险的笔据级秘密（PL4），准确率下跌以致不到 0.89%。

这意味着，MemPrivacy 真实作念到了在不伤害智能体身手的前提下，把秘密泄漏风险降到了最低。

这恰是 MemPrivacy 的关节价值：它不是在「安全」和「智能」之间二选一，而是试图把两者隔绝 —— 明文不上云，但语义仍然可用。

四级秘密树

终于把「什么是秘密」证明注解晰了

MemPrivacy 能作念到这极少，背后一个迫切原因是：它莫得把秘密看成一个简短的二分类问题。

传统秘密过滤不时是「要么脱敏，要么全明文」。但真实宇宙远比这复杂。

MemPrivacy 引入了以可识别性、潜在危害性与可愚弄性为准绳的四级秘密分类法 (PL1-PL4)，从而辅助用户根据需求解放调控脱敏阈值：

PL4 致命中枢级（最高警戒笔据与好意思妙）

这一层包括明文密码、考据码、Session、Cookie、API Key、里面贸易好意思妙等。一朝泄漏，就可能导致账户继承、资金盗刷、系统越权或大限度数据泄漏。

这类数据一朝检测到，系统将实行 “绝对零容忍” 阻难，严禁干涉云霄高下文。

PL3 高危明锐级（激勉生命财产风险的红线数据）

包括身份证件号、详备医疗会诊、生理意见、精确轨迹定位、生物特征、明锐破钞纪录等。它们不一定径直等于账号权限，但足以对东说念主身安全、财产、健康和声誉形成骨子伤害。

PL2 身份锚定级（可溯源的标志信息）

包括真实姓名、详备地址、手机号、私东说念主邮箱、IP 地址、酬酢账号等。单独或组合起来，不错定位到具体当然东说念主。尤其是「公司 + 职位 + 姓名」这类组合，在真实场景中也具备很强的可识别性。

PL1 基础画像级（安全可用的个性化基石）

包括作息民风、意思意思偏好、非会诊性格感、抒发作风等。这类信息是个性化 Agent 的基础，一般不会带来骨子伤害，因此不错安全用于始终顾忌。

这套分层规划的意旨在于 —— 它让秘密保护不再是一把锤子。

通常是破钞纪录，「在超市花了 86 块钱」可能只是宽泛偏好；但某笔带有明确医疗属性的破钞，则可能干涉 PL3。

通常是数字，有些只是野蛮计数，有些却是血压、身份证号、考据码或 API Key。

这即是细粒度秘密识别真实贫苦的方位：模子必须深远语义、高下文、风险和用途。

两阶段查验

让模子真实深远秘密领域

在模子查验上，MemPrivacy 采纳了 Qwen3 系列作为基座，狡饰 0.6B、1.7B、4B 多个规格。

查验过程分为两个阶段。

第一阶段是 SFT。

团队使用 26K 高质地多轮对话数据进行监督微调，让模子掌抓基础的秘密定位、类型识别和占位符替换才智。

第二阶段是 GRPO 强化学习。

团队引入基于结构化 Reward 的政策优化，用索求收尾的 F1 分数径直响应模子证实。

这一步的意旨在于，秘密识别最难的经常不是可想而知的手机号或邮箱，而是领域空泛、依赖高下文的细粒度信息。

比如一句「我最近压力很大」是否需要脱敏？

一句「我的血压今天 160/110」又该被划到什么级别？

某个字符串到底是野蛮 ID，照旧里面笔据？

GRPO 让模子在这些空泛领域上进一步优化调回率与精确率的均衡，最终带来了 MemPrivacy 在多个测试集上的较着上风。

结语

端云 Agent 的下一块基础设施

在万物王人可 Agent 的畴昔，大模子比你更懂你我方是势必趋势，但比你更懂你，不代表让云霄看光你。

OpenAI privacy-filter 的发布敲响了数据清洗和秘密合规的发令枪；而顾忌张量与荣耀 AI 结伙髻布的 MemPrivacy，则为下一代云边协同架构（Edge-Cloud Agents）提供了一套径直可用、高精度、低损耗的标杆级工程解法。非论是对于开辟个东说念主 AI 助理的 AI Builders，照旧对于需要得志严苛数据合规（如 GDPR）的企业级出海应用，MemPrivacy 都展现出了不可量度的贸易与时间价值。

在这件事上，荣耀并不是一个巧合出现的诱骗方。从 MagicOS 到 YOYO，荣耀一直在尝试把更多 AI 才智真实放进成立自己。这亦然为什么 MemPrivacy 的决策会和荣耀的端侧 AI 路子自然契合。

MemPrivacy 在荣耀结尾成立上的落地，则是此次诱骗的进一步延迟：0.6B 到 4B 的多档模子自己即是为端侧部署规划的。当越来越多东说念主驱动民风通过 YOYO 这么的 Agent 完成健康、出行、责任以致财务辩论的任务时，用户真实需要的，其实是一个 “既懂你、又不会看光你” 的 AI。

对端云 Agent 来说，“可顾忌” 之后，“可安全顾忌” 正在成为下一阶段真实的基础设施问题。

现在，MemPrivacy 的模子权重与评测基准已一齐开源。秘密与始终顾忌之间那说念昔日简直无法兼得的墙K体育(中国)官网入口，也第一次驱动出现了被买通的可能。