MemPrivacy: локальная обратимая псевдонимизация защищает облачную память LLM‑агентов

Команда из MemTensor (Shanghai), HONOR Device и Университета Тунцзи представила MemPrivacy — практический фреймворк для защиты памяти LLM‑агентов в edge‑cloud архитектурах. Авторы предлагают снизить риск утечек чувствительных данных при сохранении семантики и полезности памяти, что важно для переноса агентов из исследовательских прототипов в продакшн. Работа доступна в сопроводительном документе на arXiv (2605.09530v2). Ключевой механизм — «локальная обратимая псевдонимизация»: на устройстве пользователя лёгкая модель детектирует фрагменты текста с потенциально чувствительной информацией, классифицирует их по типу и уровню риска и заменяет конкретные значения типизированными плейсхолдерами. Соответствия «оригинал→плейсхолдер» сохраняются только локально и остаются постоянными между сессиями.

uplink‑десенсибилизация на клиенте, облачная обработка десенсибилизированного текста и формирование памяти, и downlink‑восстановление ответа на устройстве через локальный поиск и подстановку — процесс спроектирован с минимальными задержками. Авторы противопоставляют MemPrivacy существующим методам: простое маскирование (например, замена на ***) разрушает семантику и снижает способность облачной модели решать задачи; дифференциальная приватность и криптографические схемы дают формальные гарантии, но тяжело интегрируются в интерактивные пайплайны без ухудшения качества ответа. Предложение сохраняет полезность памяти при значительно меньшем вмешательстве в облачные компоненты. многотуровые атаки на память показывали до 69% успешных нарушений, атаки утечки памяти достигали до 75% успешности, а косвенные инъекции промптов могут вынуждать агентов запрашивать приватные данные у пользователей.

Авторы также формализовали четырёхуровневую таксономию приватности (PL1-PL4). PL1 охватывает низкорисковые элементы — общие предпочтения и стилистические особенности, которые по умолчанию не защищаются. PL2 включает PII-имена, телефонные номера, адреса электронной почты и аналогичные идентификаторы. PL3 покрывает высокочувствительные данные: номера государственных документов, финансовые реквизиты, медицинские записи, точные геоданные и биометрическую информацию. PL4 помечен как критический уровень (например, учётные данные с полный доступом) и требует дополнительных мер защиты.

Практические выводы для инженеров: внедрение MemPrivacy требует на клиенте лёгкого детектора чувствительности, локального защищённого хранилища для сопоставлений и согласованной интеграции этапов uplink/cloud/downlink в существующие пайплайны. По оценке авторов, подход позволяет облачным агентам формировать и извлекать память без передачи реальных значений, сохраняя функциональность системы; подробности реализации и оценки задержек приведены в сопроводительном материале и в препринте на arXiv (2605.09530v2).