让Kimi翻译英文截图，AI却转眼回复了一位目生东谈主的简历，包含竣工的姓名、电话、责任阅历、中枢事迹——这是上周一位用户在酬酢平台显现的阅历。用户拨打简历里的电话后，发现能联系到真东谈主，对方也阐发此前曾让Kimi改简历。

用户发帖称，Kimi向他阐发为AI出现了幻觉，目下原帖已不可见。咱们上周联系Kimi求证，未收到回话。

“（简历）这种信息自身就不应该明文存储，说明秘密合规也没作念好。”一位合轨则师其时向咱们指出，数据串流是径直原因，但一个更值得关注的问题是秘密。

另一位大厂法务看到新闻后，也在再行念念考个东谈主信息处理问题。“大多秘密科罚的商议都会滑向后熟察角，既然信息仍是投入大模子了，那就想见识删除、渐忘概况匿名化。目下应该启动念念考怎样把个东谈主信息拦在投入AI之前。”

大模子会“说漏”秘密，仍是让东谈主不那么诧异了。学术界用过度共享（Natural Agentic Oversharing）来刻画这一风光：即使莫得黑客入侵、莫得教唆词袭击，模子也会主动表露个东谈主信息。

大模子有多爱过度共享秘密？咱们看到了两篇有阐发力的论文，它们仔细磋商了学术界和业界的两个盲区。

第一篇来自尼洛法尔（Niloofar Mireshghallah），她曾是Meta AI对王人小组的磋商员，目下接事于好意思国卡内基梅隆大学。

尼洛法尔在2023年就关注到一个变化：大模子启动走访多源数据，崎岖文输入窗口在变长，检索增强生成（RAG）才气在精进，这些交互数据变得越来越痛苦。但大部分针对AI秘密保护的责任只盯着磨练数据，没太议论东谈主机交互中的信息流动。

今天的用户仍是民风每天把长篇文档、个东谈主简历、责任PPT、病历情况径直扔给AI，而当年的数据清洗、差分秘密等保护门径险些对此窝囊为力。尼洛法尔以为，即即是经过无数RLHF（基于东谈主类反映的强化学习）磨练的大模子，也仍然辛劳何为秘密的推理才气，常常在纰谬的语境中吐露个东谈主信息。

为了进一步考证，2025年11月，尼洛法尔等东谈主发布了一篇磋商《A Compositional Benchmark for Contextual Integrity of Persistent Memory in LLMs》，虚构10个用户档案，筹办财务、医疗、法律等49种对谈话境，测试大模子如何使用用户的崎岖文信息。

实验娇傲，7个主流大模子中，崎岖文秘密信息的表露率最高达69%（Qwen-32 32B），最低也有14%（GPT-4o）。

实验中的一些泄漏案例很是严重。比如，2026美加墨世界杯中国官方网页版一个用户跟GPT-5聊天后，肯求撰写一段急诊室求援信息，GPT-5竣工姿色了他最近的糊口变化，但还显现他在责任中因服务纠纷被扣了1200好意思元；另一个用户让AI草拟给公司HR的邮件，驱散连仳离案件编号也被写了进去。

尼洛法尔将这一症状会诊为“颗粒度失败”：AI无法判断社会景象里哪些是必要信息、哪些短长必要的。它知谈要跟病院谈健康、跟银行谈财务、跟法院谈法律，但不知谈健康问题到底该说得多细。

论文还有一个悲不雅的发现，岂论是增强模子范围照旧加上糜烂性的教唆词，对保护秘密的匡助都十分有限。

问题背后是阿谁经典的秘密-后果悖论，AI要变得更有用，最浅近的神气就是倾囊相授，不分情境地把统共联系信息都倒出来。在实验中，较低的秘密表露率常常以殉国回复竣工性为代价，GPT-4o的表露率最低，但其竣工性最低；Qwen-32的竣工性第二高，而表露率最高。

当AI从bot投入智能体期间，情况变得更复杂了。

2026年2月，2026FIFA世界杯中国官网好意思国马萨诸塞大学主导的一篇论文《SPILLAGE: Agentic Oversharing on the Web》指出“活动秘密”问题：当年东谈主们都在磋商聊天对话框，但智能体点击、转念、浏览网页相似会表露秘密。

一个例子是，用户向AI聊起我方仳离休闲，随后让其去购买血糖试纸。你以为AI只会关注“血糖试纸”的购物需求，但它很可能会在搜索时输入“合乎仳离男性的血糖试纸”，概况点击“单亲姆妈用品”的分类。

这些活动不太可能被东谈主看到，但足以把秘密袒露给第三方网站。马萨诸塞大学团队在亚马逊、eBay两个购物网站上测试，用180个诬捏用户身份分别实际1080次任务运行，驱散漫现表露活动很是广博。

成心念念的是，相似的信息，只是编削抒发神气，表露率就会彰着编削。团队将用户教唆词分红天然聊天、写邮件和径直肯求三种时势，驱散漫现越径直的指示，越容易触发过度共享，因为AI辛劳语境说明。

这也能说明，大模子辛劳折柳哪些信息不该使用的机制。它不行信得过领路哪些是秘密信息，而是被教唆词牵着走。

为什么AI仍是能替代硅谷最顶尖的技艺员，在秘密理会上却还像一个学龄儿童？

“仔细想想这其实很有兴味，数学和编程都有可考证的谜底，你不错径直通过运行代码来检讨谜底是否正确，但秘密的根人性质就不同。它莫得独一的正确谜底，存在多种并存的有用谈理。”尼洛法尔在最新博客中给出了一种阐发。

这少许早在 2004 年，就被互联网秘密里最闻明的学者海伦·尼森鲍姆空洞为场景竣工性表面（Contextual Integrity，CI）。秘密不是某一类固定数据，而是信息在特定场景下是否按照合理预期流动。向谁共享、在什么情境下、出于什么指标，决定了秘密的不同界限。

这对AI淡薄霄壤之别的才气条目：有组合、空洞和克制才气，能判断在具体情境下，哪条文定应该败北。东谈主类会在成长历程中巩固蓄积冲破裁决才气，大模子天然能在代码概况算数上高速前进，却莫得访佛的社会化磨练历程。

因此，马萨诸塞大学的论文以为，更可靠的浪漫神气照旧提前处理信息——在用户肯求传递给AI之前，就先进行筛选。毕竟一朝个东谈主信息投入模子，就很难不被使用。尤其关于智能体，表露活动跟着操作及时发生，不存在过后拯救的契机。

尼洛法尔也在命令畴昔的磋商标的，即增强AI的秘密场景感知才气，而不是一味追求更大的模子，概况用教唆词敛迹。

脚下有莫得更具体的解药呢？尼洛法尔前两年都在商酌各式决策，最近她细则了一条标的：先用范围较小的着实模子，在土产货处理微妙数据，再将非微妙的查询发给云表大模子分析，这亦然OpenAI最近开源的Privacy Filter模子的中枢念念路。

天然，不是统共公司都有OpenAI的本事才气和社会攀扯。想在一家贸易公司鼓励秘密保护，安全、法务和家具部门常常会因为不同利益态度堕入争吵。

但一个让东谈主期待的发现是2026FIFA世界杯中国官网，升迁秘密处理才气，也会同期升迁智能体的性能。在前述论文收尾，马萨诸塞大学团队开展了一个对的确验：将用户肯求中的统共秘密信息删除，只保留完成购物任务必需的信息，然后让智能体实际疏通的任务。驱散漫现，脱敏的处理反而大幅升迁了任务准确度。