SplitAgent: A Privacy-Preserving Distributed Architecture for Enterprise-Cloud Agent Collaboration

本文提出了 SplitAgent，一种通过上下文感知的动态脱敏、差分隐私和零知识验证等机制，在保障企业敏感数据隐私的同时实现与云端 AI 代理高效协作的新型分布式架构。

要点

这篇论文介绍了一个叫 SPLITAGENT（分裂智能体）的新系统。为了解释清楚它是什么，我们可以用一个生动的比喻：“带保密锁的超级管家”。

🏢 核心难题：想请“外脑”帮忙，又怕“家底”泄露

想象一下，你是一家大公司的老板（企业），你有很多绝密的文件：合同、代码、财务报表。你想请一位住在云端的“超级天才顾问”（云端 AI）来帮你分析这些文件，给出最好的建议。

• 现状的困境：
  • 如果你把文件全发给顾问，他确实能给出最完美的建议，但你的商业机密（比如客户名字、具体金额、核心代码）也就全泄露了。
  • 如果你把文件锁在家里，自己用笨办法处理，虽然安全，但效率低，而且你家里没有那个“超级天才”，分析不出什么深度。
  • 现在的 AI 工具就像是一个“全知全能的透明玻璃房”，要么全信全给，要么完全不给，没有中间地带。

🛡️ SPLITAGENT 的解决方案：两个“分身”的默契配合

SPLITAGENT 就像是你雇佣了一个**“分身组合”**，他们分工合作，既利用了云端的超级大脑，又守住了家里的秘密。

1. 两个角色：

• 企业侧的“守门员”（Privacy Agent）：
  • 他住在你的公司里，手里拿着所有绝密文件。
  • 他的工作不是思考，而是**“翻译”和“打码”**。
  • 他非常聪明，知道什么该留，什么该藏。
• 云端的“大侦探”（Reasoning Agent）：
  • 他住在云端，拥有超级大脑（大语言模型）。
  • 他永远看不到原始文件，只能看到“守门员”发过来的“打码版”摘要。
  • 他负责根据这些摘要进行深度推理，给出战略建议。

2. 核心魔法：聪明的“打码”（上下文感知动态清洗）

这是这篇论文最厉害的地方。以前的打码是“死板”的（比如把所有名字都换成"XXX"），但这会破坏文件的逻辑。

SPLITAGENT 的“守门员”会根据任务类型，像变魔术一样动态调整打码方式：

• 场景 A：审阅合同
  • 任务：检查条款是否公平。
  • 守门员的做法：把“甲方：张三”改成“公司 A"，把“金额：500 万”改成“大额资金”。
  • 结果：大侦探依然能看出合同结构是否合理，但完全不知道是谁签的、具体多少钱。
• 场景 B：检查代码
  • 任务：找 Bug 或优化性能。
  • 守门员的做法：把“密码：123456"和“内部服务器地址”抹掉，但保留代码的逻辑结构。
  • 结果：大侦探能发现代码写得烂，但拿不到你的密码。
• 场景 C：财务分析
  • 任务：分析趋势。
  • 守门员的做法：把具体的“账户号”和“精确数字”模糊化，但保留“增长”或“下降”的趋势比例。
  • 结果：大侦探能告诉你“今年生意很好”，但不知道具体赚了多少钱。

3. 额外的安全锁：隐私预算

这就好比你的“守门员”手里有一个**“隐私钱包”**。

• 每次他给云端发一点信息，就要花掉一点“隐私钱”。
• 如果钱包快空了，他就会停止发送信息，或者发送更模糊的信息，防止被坏人通过多次询问拼凑出你的秘密（这叫“差分隐私”）。
• 这确保了即使云端顾问很狡猾，想通过反复提问来猜出你的秘密，也猜不出来。

📊 效果怎么样？（实验数据）

论文通过大量实验证明了这个系统很管用：

• 既安全又聪明：传统的“死板打码”方法，要么太安全导致 AI 变笨（准确率只有 73%），要么太聪明导致不安全。
• SPLITAGENT 的表现：
  • 任务准确率：达到了 83.8%（非常接近直接把文件全给 AI 的效果）。
  • 隐私保护：达到了 90.1%（几乎完全保护了秘密）。
  • 对比：比旧方法在保持隐私的同时，让 AI 的“智商”提升了 24% 以上。

💡 总结

SPLITAGENT 就像是给企业 AI 应用装上了一套**“智能防弹玻璃”**。

它让企业可以安心地利用云端强大的 AI 能力来处理复杂任务，同时确保核心机密（客户数据、代码、财务）像被锁在保险柜里一样安全。它不再强迫企业在“安全”和“智能”之间做二选一的痛苦选择，而是通过聪明的分工，让两者兼得。

一句话概括：让云端的超级大脑帮你干活，但只让它看“脱敏后的故事”，不让他看“真实的底牌”。

技术摘要

SplitAgent 技术总结

1. 研究背景与问题定义 (Problem)

随着大语言模型（LLM）的发展，企业希望通过 AI Agent 实现自动化，但面临严峻的隐私困境：

• 能力与隐私的冲突：强大的 AI 推理能力通常位于云端模型，需要共享数据；而企业必须保护客户数据、财务记录、知识产权等敏感信息，不能直接上传至云端。
• 现有方案的局限性：
  • 现有协议缺陷：当前的 Agent 通信协议（如 Anthropic 的 MCP、Google 的 A2A）假设参与者之间完全信任且数据共享，缺乏隐私保护机制。
  • 二元选择困境：现有解决方案迫使企业在“本地处理（能力受限）”和“全量云端共享（隐私泄露）”之间做非此即彼的选择。
  • 静态脱敏的不足：传统的静态数据掩码（Static Masking）无法适应不同任务的语义需求（例如：合同审查需要保留法律结构但隐藏身份，代码审查需要保留语法但隐藏凭证），导致任务效用（Utility）大幅下降。

核心问题：如何在利用云端强大 AI 能力的同时，确保企业敏感数据不泄露，并最大化任务处理的准确性？

2. 方法论与架构设计 (Methodology)

论文提出了 SplitAgent，一种创新的隐私保护分布式架构，将数据处理与推理能力分离，通过“企业侧隐私代理”与“云端推理代理”的协作解决问题。

2.1 系统架构

系统分为两个主要部分：

• 企业侧隐私代理 (Privacy Agent)：
  • 部署在企业内部（本地/私有云），完全控制敏感数据。
  • 负责数据控制器、本地工具执行、本地 RAG（检索增强生成）以及上下文感知动态脱敏。
  • 管理隐私预算（Privacy Budget），追踪差分隐私消耗。
• 云端推理代理 (Reasoning Agent)：
  • 部署在不可信的第三方云端，拥有强大的 LLM 推理能力。
  • 仅接收脱敏后的抽象数据，无法访问原始数据。
  • 负责任务规划、逻辑推理、策略生成和抽象综合。

2.2 核心技术创新

A. 上下文感知动态脱敏 (Context-Aware Dynamic Sanitization)

这是 SplitAgent 的核心创新。不同于静态规则，脱敏引擎根据任务语义动态调整保护策略：

• 合同审查：保留法律条款结构，抽象化当事人名称、金额和日期（例如将"$150,000"抽象为"AMOUNT LARGE"）。
• 代码审查：保留语法结构和 API 模式，移除凭证、内部 URL 和专有逻辑。
• 财务分析：保留数值关系和趋势，抽象化具体金额和账户标识。
• 算法流程：提取实体 -> 判断敏感度 -> 根据任务语义生成抽象映射 -> 应用差分隐私噪声（如需要）。

B. 增强型 SplitAgent 协议

在现有 Agent 协议基础上扩展了隐私原语：

• 隐私感知握手：在数据传输前协商任务类型、隐私级别和预算。
• 差分隐私 (DP) 上下文共享：共享的数据满足 $(\epsilon, \delta)$-差分隐私，防止重构建攻击。
• 零知识工具验证 (Zero-Knowledge Tool Verification)：云端代理可验证工具执行结果，而无需查看敏感输入数据。
• 隐私预算管理：动态分配隐私预算，防止在多次交互中过度消耗导致隐私泄露。

3. 主要贡献 (Key Contributions)

1. 分层架构设计：提出了将数据管理与推理分离的双层架构，使企业能在不泄露原始数据的前提下利用云端 AI。
2. 动态脱敏机制：首创基于任务语义的上下文感知脱敏，解决了静态方法在任务效用上的不足。
3. 形式化隐私保障：将差分隐私、零知识证明和隐私预算管理集成到 Agent 协议中，提供了数学上的隐私保证。
4. 实用化落地：证明了该架构在保持高任务准确性的同时，能有效抵御重构、推断和链接性攻击。

4. 实验结果 (Results)

研究者在多个企业场景（合同审查、代码审计、财务分析等）进行了综合评估，对比了全云端、全本地、静态拆分和 SplitAgent 四种方案。

• 任务准确性与隐私保护的平衡：
  • SplitAgent：实现了 83.8% 的任务准确性，同时保持 90.1% 的隐私保护率。
  • 对比静态方法：静态拆分方案仅为 73.2% 准确性和 79.7% 隐私保护。SplitAgent 在准确性上提升了 10.6%，隐私保护提升了 10.4%。
• 上下文感知脱敏的效用提升：
  • 相比静态正则和静态 NER 方法，上下文感知脱敏将任务效用平均提升了 24.1%。
  • 隐私泄露减少了 67%。
• 隐私 - 效用权衡 (Trade-off)：
  • 实验发现，当隐私预算参数 $\epsilon = 0.5$ 时，达到了最佳的隐私 - 效用平衡点（准确性 83.4%，隐私保护 94.5%）。
• 多轮交互预算管理：
  • 在 50 轮交互中，SplitAgent 的智能预算分配策略实现了 34.2 的累积效用，远超朴素分配策略（24.3），任务完成率高达 96%。
• 抗攻击能力：
  • 相比无防御和静态掩码，SplitAgent 将攻击成功率降低了 89%（平均攻击成功率降至 11.0%），特别是在链接性攻击（Linkability Attacks）上表现优异（成功率仅 6.7%）。

5. 意义与展望 (Significance)

• 打破企业 AI adoption 的僵局：SplitAgent 提供了一条切实可行的路径，使企业能够在不牺牲数据隐私的前提下，充分利用云端大模型的强大推理能力。
• 超越二元对立：通过动态脱敏和隐私预算机制，解决了“要么全信，要么全防”的极端选择，实现了隐私与效用的最优平衡。
• 标准化与兼容性：该架构扩展了现有的 Agent 协议，具有良好的向后兼容性，易于集成到现有的企业 IT 基础设施中。
• 未来方向：论文指出未来可结合同态加密、安全多方计算（MPC）以进一步增强隐私，并探索跨企业协作场景。

总结：SplitAgent 通过创新的分布式架构和上下文感知脱敏技术，成功解决了企业级 AI Agent 在云端协作中的隐私悖论，为安全、高效的企业 AI 部署奠定了坚实基础。