機(jī)器之心發(fā)布

AI 記憶時(shí)代 ，Agent 越來(lái)越像一個(gè)真正的私人助理。

它記得你的習(xí)慣，知道你的日程，理解你的健康狀態(tài)，甚至能在長(zhǎng)期對(duì)話中逐漸形成一套關(guān)于你的「?jìng)€(gè)人畫像」。但問(wèn)題也隨之而來(lái)：如果這些記憶都要上云，隱私還安全嗎？

4 月 22 日，OpenAI 開源了一個(gè)名為privacy-?lter的輕量級(jí)隱私過(guò)濾模型，試圖解決大模型系統(tǒng)中的 PII 檢測(cè)與脫敏問(wèn)題。

• OpenAI Privacy Filter 地址：https://openai.com/zh-Hans-CN/index/introducing-openai-privacy-filter/

僅僅兩周后，記憶張量 MemTensor 團(tuán)隊(duì)拿出了一個(gè)更激進(jìn)的答案。該方案由記憶張量 MemTensor 與榮耀 HONOR 團(tuán)隊(duì)聯(lián)合研發(fā)，同濟(jì)大學(xué)也參與其中 —— 這也是端側(cè)廠商與記憶基礎(chǔ)設(shè)施團(tuán)隊(duì)首次在「Agent 隱私」這件事上深度合作。

他們正式開源了面向端云協(xié)同 Agent 的隱私保護(hù)框架與系列模型MemPrivacy。更令人意外的是，在同樣的真實(shí)對(duì)話隱私提取任務(wù)上，MemPrivacy 的 F1 分?jǐn)?shù)最高比 OpenAI privacy-filter 高出50.47 %

這并不是一次臨時(shí)跨界。

在此之前，記憶張量已經(jīng)推出 MemOS，把 Agent 記憶從向量庫(kù)或 RAG 插件，提升為可管理、可調(diào)度、可演化的系統(tǒng)資源：記什么、怎么檢索、如何更新、如何治理，都被放進(jìn)一套「記憶操作系統(tǒng)」里。

MemPrivacy 更像是 MemOS 往端云協(xié)同場(chǎng)景自然長(zhǎng)出的隱私層 —— 當(dāng) Agent 開始長(zhǎng)期記住用戶偏好、健康狀態(tài)、賬號(hào)憑證和工作上下文時(shí)，問(wèn)題就不只是「能不能記住」，而是「能不能安全地記住」。這也讓記憶張量做 MemPrivacy 顯得順理成章：它不是從通用 PII 打碼出發(fā)，而是直接從 Agent 長(zhǎng)期記憶的真實(shí)使用場(chǎng)景出發(fā)，重新定義隱私類型、保護(hù)級(jí)別和占位符機(jī)制。

發(fā)布當(dāng)天，MemPrivacy 即上榜 Hugging Face Daily&Weekly Papers TOP1。

這不是一個(gè)簡(jiǎn)單的「隱私打碼工具」。

它瞄準(zhǔn)的是下一代個(gè)性化 Agent 最核心、也最棘手的問(wèn)題：如何讓云端大模型繼續(xù)擁有長(zhǎng)期記憶和個(gè)性化能力，同時(shí)又不讓用戶的敏感數(shù)據(jù)真正離開本地？

換句話說(shuō)，MemPrivacy 想做的事情是：讓 Agent 可用，但不可見(jiàn)。

• 論文標(biāo)題：MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents
• 論文地址：https://arxiv.org/pdf/2605.09530
• 代碼倉(cāng)庫(kù)：https://github.com/MemTensor/MemPrivacy
• 模型倉(cāng)庫(kù)：https://huggingface.co/collections/IAAR-Shanghai/memprivacy

OpenAI 入局

但 8 個(gè)標(biāo)簽撐不起 Agent 的長(zhǎng)期記憶

OpenAI 的 privacy-filter 思路很簡(jiǎn)單：掃描文本，識(shí)別隱私片段，然后替換成語(yǔ)義標(biāo)簽。

比如，把用戶輸入中的人名「Maya」替換成 [PRIVATE_PERSON]。

這套模型擁有 1.5B 參數(shù)，其中激活參數(shù)約 50M，采用雙向 Token 分類架構(gòu)，支持 128k 上下文，主打高吞吐量 PII 檢測(cè)與掩碼。

相比傳統(tǒng)一律替換成 *** 的打碼方式，這當(dāng)然已經(jīng)進(jìn)了一步：它至少保留了一部分語(yǔ)義。

但放到端云 Agent 的長(zhǎng)期記憶場(chǎng)景里，問(wèn)題很快暴露出來(lái)了。

OpenAI privacy-filter 只提供 8 類基礎(chǔ)隱私標(biāo)簽。對(duì)于普通表單脫敏，這也許夠用；但對(duì)于一個(gè)需要理解用戶、長(zhǎng)期記憶用戶、甚至調(diào)用工具替用戶執(zhí)行任務(wù)的 Agent 來(lái)說(shuō)，這個(gè)粒度太粗了。

銀行卡號(hào)、社保編號(hào)、項(xiàng)目檔案號(hào)，可能都會(huì)被塞進(jìn)同一個(gè) [ACCOUNT_NUMBER]。登錄密碼、數(shù)據(jù)庫(kù)憑證、API Key、內(nèi)部密鑰，也可能統(tǒng)統(tǒng)變成 [SECRET]。

這就像把所有危險(xiǎn)物品都貼上「危險(xiǎn)」兩個(gè)字。

安全是安全了一點(diǎn)，但語(yǔ)義也被抹平了。

真正的問(wèn)題在于，Agent 不是數(shù)據(jù)庫(kù)清洗腳本。它需要理解上下文、保留關(guān)系、形成記憶，并在未來(lái)的對(duì)話中繼續(xù)使用這些信息。

當(dāng)用戶說(shuō)「我的血壓今天是 160/110」時(shí)，這不是普通數(shù)字，而是健康指標(biāo)；當(dāng)用戶說(shuō)「這是我公司數(shù)據(jù)庫(kù)的連接串」時(shí)，這也不是普通文本，而是高危憑證。粗粒度標(biāo)簽一旦識(shí)別不到，就會(huì)漏；一旦識(shí)別錯(cuò)，就會(huì)毀掉語(yǔ)義。

于是，隱私過(guò)濾進(jìn)入了一個(gè)兩難局面：

漏判，用戶隱私裸奔；誤判，Agent 當(dāng)場(chǎng)失憶。

這正是下一代個(gè)性化 Agent 最難繞開的矛盾。

MemPrivacy 登場(chǎng)

不是抹掉隱私，而是給隱私換一張「本地身份證」

記憶張量 MemTensor 團(tuán)隊(duì)提出的 MemPrivacy，核心思路叫做：本地可逆?zhèn)文涿?/strong>

它不是把隱私信息簡(jiǎn)單刪除，也不是替換成無(wú)意義的星號(hào)，而是在端側(cè)完成一次更精細(xì)的「偷梁換柱」。

整個(gè)流程可以拆成三步。

端側(cè)上行脫敏

用戶在手機(jī)、PC 等邊緣設(shè)備上與 Agent 對(duì)話時(shí)，本地會(huì)先運(yùn)行一個(gè)輕量級(jí) MemPrivacy 模型。它負(fù)責(zé)識(shí)別對(duì)話中的隱私片段，并根據(jù)用戶設(shè)置的保護(hù)等級(jí)進(jìn)行處理。

如果文本里出現(xiàn)「我的血壓今天是 160/110」，MemPrivacy 不會(huì)直接把它變成 ***，而是替換為類似

這樣的細(xì)粒度類型化占位符。

真實(shí)血壓值與占位符之間的映射關(guān)系，只保存在本地?cái)?shù)據(jù)庫(kù)里。

云端安全處理

云端大模型看到的是：「我的血壓今天是

。」

它看不到 160/110 這個(gè)明文敏感數(shù)據(jù)，但依然知道這里是一個(gè)健康指標(biāo)，因此可以繼續(xù)進(jìn)行推理、生成建議、形成記憶，甚至調(diào)用相關(guān)工具。

第三步，端側(cè)下行恢復(fù)

當(dāng)云端回復(fù)「您的血壓

偏高」時(shí)，本地系統(tǒng)再把占位符恢復(fù)成真實(shí)數(shù)值，最終呈現(xiàn)給用戶。

在用戶體驗(yàn)上，這個(gè)過(guò)程幾乎是透明的。

但在系統(tǒng)架構(gòu)上，關(guān)鍵敏感數(shù)據(jù)從未真正離開本地。

這就是 MemPrivacy 最重要的設(shè)計(jì)：讓云端看懂結(jié)構(gòu)，但看不到明文

三種路線對(duì)比

無(wú)保護(hù)裸奔，全過(guò)濾失憶，MemPrivacy 保留智商

在端云 Agent 場(chǎng)景里，傳統(tǒng)隱私保護(hù)大致有兩種極端方案。

第一種是無(wú)保護(hù)。

用戶原始數(shù)據(jù)直接上云。云端模型當(dāng)然可以完整理解上下文，個(gè)性化效果最好，但健康數(shù)據(jù)、私人郵箱、家庭住址、賬號(hào)憑證等敏感信息也會(huì)完整暴露。

在數(shù)據(jù)合規(guī)越來(lái)越嚴(yán)格的今天，這幾乎是在走鋼絲。

第二種是完全過(guò)濾。

所有隱私內(nèi)容都被替換成 *** 或直接刪除。看起來(lái)很安全，但代價(jià)是 Agent 徹底失去關(guān)鍵語(yǔ)義。用戶想讓它記住健康狀況、財(cái)務(wù)約束、工作上下文，它卻只能看到一片空白。

這類 Agent 看似安全，實(shí)際上已經(jīng)喪失了「長(zhǎng)期個(gè)性化」的基礎(chǔ)。

MemPrivacy 選擇的是第三條路：細(xì)粒度類型化占位符

云端不知道你的真實(shí)血壓是多少，但知道這是一個(gè)健康指標(biāo)；不知道你的私人郵箱是什么，但知道這里有一個(gè)郵箱；不知道你的 API Key 明文，但知道這里是一個(gè)高危憑證。

這種設(shè)計(jì)保住了兩個(gè)東西：一是隱私邊界，二是語(yǔ)義結(jié)構(gòu)。

也正因如此，MemPrivacy 才有機(jī)會(huì)在隱私保護(hù)和 Agent 效用之間取得平衡。

硬核實(shí)力

F1 分?jǐn)?shù)甩開 OpenAI 超 50 點(diǎn)，完爆 GPT-5.2

為了驗(yàn)證 MemPrivacy 的能力，研究團(tuán)隊(duì)構(gòu)建了一個(gè)新的評(píng)測(cè)基準(zhǔn)MemPrivacy-Bench。這個(gè)基準(zhǔn)覆蓋 200 個(gè)用戶的對(duì)話歷史，包含超過(guò) 15.5 萬(wàn)個(gè)隱私項(xiàng)，并支持中英雙語(yǔ)隱私信息檢測(cè)。

此外，為了測(cè)試泛化能力，團(tuán)隊(duì)還在外部個(gè)性化長(zhǎng)文本對(duì)話數(shù)據(jù)集PersonaMem-v2上進(jìn)行了 OOD 交叉測(cè)試。

在這兩大基準(zhǔn)的提取準(zhǔn)確率（隱私文本、級(jí)別、類型的綜合 F1 分?jǐn)?shù)）較量中，MemPrivacy 均展現(xiàn)出了碾壓級(jí)的優(yōu)勢(shì)：

遠(yuǎn)超 OpenAI 專項(xiàng)模型：

在 MemPrivacy-Bench 上，OpenAI privacy-filter 的綜合 F1 分?jǐn)?shù)只有35.50%

而 MemPrivacy-4B-RL 達(dá)到了85.97%，兩者差距高達(dá)驚人的50.47%！即使是在跨分布的 PersonaMem-v2 數(shù)據(jù)集上，MemPrivacy 依然領(lǐng)先 OpenAI 近 9%。

原因也很清楚：OpenAI privacy-filter 的優(yōu)勢(shì)在速度，非自回歸 Token 分類架構(gòu)帶來(lái)了很高吞吐量；但它的問(wèn)題在于標(biāo)簽覆蓋窄、顆粒度粗，對(duì)復(fù)雜上下文和中文場(chǎng)景的適配不足。

MemPrivacy 則針對(duì) Agent 長(zhǎng)記憶場(chǎng)景重新定義了隱私類型、保護(hù)級(jí)別和訓(xùn)練目標(biāo)，因此在真實(shí)對(duì)話中更接近實(shí)際需求。

更有意思的是，MemPrivacy 不只是贏了 OpenAI 的專項(xiàng)小模型。

越級(jí)挑戰(zhàn)通用大模型：

即使面對(duì)參數(shù)量極其龐大的最強(qiáng)通用模型 GPT-5.2、Gemini-3.1-Pro 以及 DeepSeek-V3.2-Think，MemPrivacy-4B 乃至僅有 0.6B 的微型版本在兩個(gè)數(shù)據(jù)集上均實(shí)現(xiàn)了碾壓。

這說(shuō)明，隱私提取不是簡(jiǎn)單堆大參數(shù)就能解決的問(wèn)題

它更像一個(gè)高度結(jié)構(gòu)化、強(qiáng)約束、強(qiáng)邊界感的任務(wù)。真正重要的不是模型有多大，而是它是否理解「什么信息該被保護(hù)、該保護(hù)到什么程度、保護(hù)后還能不能繼續(xù)被 Agent 使用」。

不讓 Agent 變傻

系統(tǒng)效用損失最低不到 1%

隱私保護(hù)還有一個(gè)更現(xiàn)實(shí)的問(wèn)題：保護(hù)得再好，如果 Agent 變傻了，也是白搭。

這也是很多粗暴脫敏方案的死穴。

用戶說(shuō)：「我最近血壓偏高，幫我記住，以后安排運(yùn)動(dòng)計(jì)劃時(shí)注意一點(diǎn)。」

如果系統(tǒng)把血壓、健康狀態(tài)、運(yùn)動(dòng)偏好全部抹掉，云端模型當(dāng)然安全了，但它也沒(méi)法再提供真正個(gè)性化的服務(wù)。

MemPrivacy 的類型化占位符真的能保留記憶系統(tǒng)的效用嗎？

團(tuán)隊(duì)在業(yè)界幾個(gè)主流記憶系統(tǒng)平臺(tái)上進(jìn)行了端到端測(cè)試。所有底座均采用統(tǒng)一的 GPT-4.1 模型。

實(shí)驗(yàn)結(jié)果令人振奮：

• 當(dāng)采用傳統(tǒng)的不可逆掩碼（Irreversible Masking）時(shí)，三大記憶系統(tǒng)的準(zhǔn)確率分別暴跌了 26.67%、41.87% 和 16.99%，模型幾乎處于失憶的癱瘓狀態(tài)。
• 在 MemPrivacy 保護(hù)下（最高防御級(jí)別 PL4+PL3+PL2 全開），系統(tǒng)效用損失被死死控制在0.71% ~ 1.60%之間。如果用戶僅選擇保護(hù)最高風(fēng)險(xiǎn)的憑證級(jí)隱私（PL4），準(zhǔn)確率下降甚至不到 0.89%

這意味著，MemPrivacy 真正做到了在不傷害智能體智商的前提下，把隱私泄漏風(fēng)險(xiǎn)降到了最低。

這正是 MemPrivacy 的關(guān)鍵價(jià)值：它不是在「安全」和「智能」之間二選一，而是試圖把兩者拆開 —— 明文不上云，但語(yǔ)義仍然可用。

四級(jí)隱私樹

終于把「什么是隱私」講清楚了

MemPrivacy 能做到這一點(diǎn)，背后一個(gè)重要原因是：它沒(méi)有把隱私當(dāng)作一個(gè)簡(jiǎn)單的二分類問(wèn)題。

傳統(tǒng)隱私過(guò)濾常常是「要么脫敏，要么全明文」。但真實(shí)世界遠(yuǎn)比這復(fù)雜。

MemPrivacy 引入了以可識(shí)別性、潛在危害性與可利用性為準(zhǔn)繩的四級(jí)隱私分類法 (PL1-PL4)，從而支持用戶根據(jù)需求自由調(diào)控脫敏閾值：

PL4 致命核心級(jí)（最高警戒憑證與機(jī)密）

這一層包括明文密碼、驗(yàn)證碼、Session、Cookie、API Key、內(nèi)部商業(yè)機(jī)密等。一旦泄露，就可能導(dǎo)致賬戶接管、資金盜刷、系統(tǒng)越權(quán)或大規(guī)模數(shù)據(jù)泄露。

這類數(shù)據(jù)一旦檢測(cè)到，系統(tǒng)將實(shí)行 “絕對(duì)零容忍” 攔截，嚴(yán)禁進(jìn)入云端上下文。

PL3 高危敏感級(jí)（引發(fā)生命財(cái)產(chǎn)風(fēng)險(xiǎn)的紅線數(shù)據(jù)）

包括身份證件號(hào)、詳細(xì)醫(yī)療診斷、生理指標(biāo)、精準(zhǔn)軌跡定位、生物特征、敏感消費(fèi)記錄等。它們不一定直接等于賬號(hào)權(quán)限，但足以對(duì)人身安全、財(cái)產(chǎn)、健康和聲譽(yù)造成實(shí)質(zhì)傷害。

PL2 身份錨定級(jí)（可溯源的標(biāo)識(shí)信息）

包括真實(shí)姓名、詳細(xì)地址、手機(jī)號(hào)、私人郵箱、IP 地址、社交賬號(hào)等。單獨(dú)或組合起來(lái)，可以定位到具體自然人。尤其是「公司 + 職位 + 姓名」這類組合，在真實(shí)場(chǎng)景中也具備很強(qiáng)的可識(shí)別性。

PL1 基礎(chǔ)畫像級(jí)（安全可用的個(gè)性化基石）

包括作息習(xí)慣、興趣偏好、非診斷性情緒、表達(dá)風(fēng)格等。這類信息是個(gè)性化 Agent 的基礎(chǔ)，一般不會(huì)帶來(lái)實(shí)質(zhì)傷害，因此可以安全用于長(zhǎng)期記憶。

這套分層設(shè)計(jì)的意義在于 —— 它讓隱私保護(hù)不再是一把錘子。

同樣是消費(fèi)記錄，「在超市花了 86 塊錢」可能只是日常偏好；但某筆帶有明確醫(yī)療屬性的消費(fèi)，則可能進(jìn)入 PL3。

同樣是數(shù)字，有些只是普通計(jì)數(shù)，有些卻是血壓、身份證號(hào)、驗(yàn)證碼或 API Key。

這就是細(xì)粒度隱私識(shí)別真正困難的地方：模型必須理解語(yǔ)義、上下文、風(fēng)險(xiǎn)和用途。

兩階段訓(xùn)練

讓模型真正理解隱私邊界

在模型訓(xùn)練上，MemPrivacy 采用了 Qwen3 系列作為基座，覆蓋 0.6B、1.7B、4B 多個(gè)規(guī)格。

訓(xùn)練過(guò)程分為兩個(gè)階段。

第一階段是 SFT。

團(tuán)隊(duì)使用 26K 高質(zhì)量多輪對(duì)話數(shù)據(jù)進(jìn)行監(jiān)督微調(diào)，讓模型掌握基礎(chǔ)的隱私定位、類型識(shí)別和占位符替換能力。

第二階段是 GRPO 強(qiáng)化學(xué)習(xí)。

團(tuán)隊(duì)引入基于結(jié)構(gòu)化 Reward 的策略優(yōu)化，用提取結(jié)果的 F1 分?jǐn)?shù)直接反饋模型表現(xiàn)。

這一步的意義在于，隱私識(shí)別最難的往往不是顯而易見(jiàn)的手機(jī)號(hào)或郵箱，而是邊界模糊、依賴上下文的細(xì)粒度信息。

比如一句「我最近壓力很大」是否需要脫敏？

一句「我的血壓今天 160/110」又該被劃到什么級(jí)別？

某個(gè)字符串到底是普通 ID，還是內(nèi)部憑證？

GRPO 讓模型在這些模糊邊界上進(jìn)一步優(yōu)化召回率與精確率的平衡，最終帶來(lái)了 MemPrivacy 在多個(gè)測(cè)試集上的明顯優(yōu)勢(shì)。

結(jié)語(yǔ)

端云 Agent 的下一塊基礎(chǔ)設(shè)施

在萬(wàn)物皆可 Agent 的未來(lái)，大模型比你更懂你自己是必然趨勢(shì)，但比你更懂你，不代表讓云端看光你。

OpenAI privacy-filter 的發(fā)布敲響了數(shù)據(jù)清洗和隱私合規(guī)的發(fā)令槍；而記憶張量與榮耀 AI 聯(lián)合發(fā)布的 MemPrivacy，則為下一代云邊協(xié)同架構(gòu)（Edge-Cloud Agents）提供了一套直接可用、高精度、低損耗的標(biāo)桿級(jí)工程解法。無(wú)論是對(duì)于開發(fā)個(gè)人 AI 助理的 AI Builders，還是對(duì)于需要滿足嚴(yán)苛數(shù)據(jù)合規(guī)（如 GDPR）的企業(yè)級(jí)出海應(yīng)用，MemPrivacy 都展現(xiàn)出了不可估量的商業(yè)與技術(shù)價(jià)值。

在這件事上，榮耀并不是一個(gè)偶然出現(xiàn)的合作方。從 MagicOS 到 YOYO，榮耀一直在嘗試把更多 AI 能力真正放進(jìn)設(shè)備本身。這也是為什么 MemPrivacy 的方案會(huì)和榮耀的端側(cè) AI 路線天然契合。

MemPrivacy 在榮耀終端設(shè)備上的落地，則是這次合作的進(jìn)一步延伸：0.6B 到 4B 的多檔模型本身就是為端側(cè)部署設(shè)計(jì)的。當(dāng)越來(lái)越多人開始習(xí)慣通過(guò) YOYO 這樣的 Agent 完成健康、出行、工作甚至財(cái)務(wù)相關(guān)的任務(wù)時(shí)，用戶真正需要的，其實(shí)是一個(gè) “既懂你、又不會(huì)看光你” 的 AI。

對(duì)端云 Agent 來(lái)說(shuō)，“可記憶” 之后，“可安全記憶” 正在成為下一階段真正的基礎(chǔ)設(shè)施問(wèn)題。

目前，MemPrivacy 的模型權(quán)重與評(píng)測(cè)基準(zhǔn)已全部開源。隱私與長(zhǎng)期記憶之間那道過(guò)去幾乎無(wú)法兼得的墻，也第一次開始出現(xiàn)了被打通的可能。

• 論文地址：https://arxiv.org/pdf/2605.09530
• 代碼倉(cāng)庫(kù)：https://github.com/MemTensor/MemPrivacy
• 模型倉(cāng)庫(kù)：https://huggingface.co/collections/IAAR-Shanghai/memprivacy