[论文学习]上下文定规则!面向未来可信AI智能体的隐私与安全
Context Rules! Privacy and Security for Future Trustworthy AI Agents
论文重点
本文提出,判断AI智能体(Agent)行为的安全性必须依赖上下文——同样的操作在不同情境下可能完全合规或完全违规。为此,作者提出了Conseca(Contextual Agent Security)框架,通过利用大语言模型动态生成“即时、上下文感知且可人工验证”的安全策略,从根本上解决传统静态规则无法适应通用AI智能体海量应用场景的核心矛盾。
核心研究内容
问题定义
传统计算机系统的安全设计依赖人工预设的静态策略——例如手机应用权限、网络访问控制列表等。这些方法在应用场景有限、智能体自主权有限的条件下尚能运转。然而,当通用AI智能体(如自动化个人助理)被部署到支持海量多样化任务的真实环境中时,静态策略的局限性暴露无遗:
- 策略编写者无法穷举所有可能的上下文,导致规则在某些场景下过度限制、在另一些场景下过度宽松;
- 依赖用户手动确认的方式会导致用户疲劳和过度授权(overpermissioning);
- 同一个操作(如“删除邮件”)在不同上下文中的安全性截然不同——取决于邮件内容、用户目标(清除敏感邮件还是清理垃圾)、邮箱类型(工作邮箱还是个人邮箱)等。
创新方法
论文的核心创新是提出了 Conseca(Contextual Agent Security)框架,其核心理念可概括为:
-
将上下文安全(Contextual Security)引入AI智能体领域:借鉴隐私领域成熟的“情境完整性”(Contextual Integrity)理论,将上下文化理念系统性地应用于智能体安全。
-
利用LLM动态生成安全策略:Conseca不是依赖人工预写的静态规则,而是利用大语言模型在运行时即时生成与当前具体情境匹配的安全策略。
-
策略可人工验证:生成的策略并非黑箱输出,而是设计为人类可理解、可审核、可干预的形式,确保安全决策的可控性。
研究成果
Conseca论文发表于ACM HotOS 2025研讨会,其主要研究成果包括:
- 问题框架化:系统性地论证了为什么传统安全范式在通用AI智能体时代失效,以及为什么上下文必须成为安全决策的核心维度;
- 框架设计:提出了Conseca的概念架构和运行机制,展示了如何利用LLM实现“一策略一场景”的精细化安全管控;
- 奠定后续研究基础:该工作为后续研究提供了理论框架,包括后续关于提示注入攻击的研究表明,Conseca等上下文化方法可动态保护智能体,但在完全确定上下文适切性方面仍属早期探索。
实际落地应用的可能性
Conseca框架的落地前景广阔且务实:
- 自动化个人助理:如Google Assistant、Siri等智能助手在处理跨应用操作时,可根据当前对话上下文动态判定操作权限;
- 企业级AI Copilot:在代码生成、文档处理等场景中,根据任务敏感度和用户角色动态调整安全边界;
- 多智能体系统:与作者团队同期发布的Terrarium框架相结合,可在多智能体交互场景中进行细粒度的安全与隐私研究;
- 隐私保护:作者团队的AirGapAgent(发表于CCS’24)已展示了类似思路在隐私保护上的有效性——在Gemini Ultra智能体上,单次查询的上下文劫持攻击使其隐私保护能力从94%骤降至45%,而AirGapAgent则达到97%的保护率。
技术细节
Conseca核心机制
Conseca框架的工作流程可以概括为以下几个核心步骤:
1. 上下文感知:系统实时捕获当前交互的完整上下文信息,包括但不限于:
- 用户身份与角色
- 任务目标与意图
- 操作对象属性(如文件类型、敏感等级)
- 环境状态与历史交互记录
2. 即时策略生成:利用LLM根据捕获的上下文动态生成安全策略。这一过程不同于传统的规则匹配,而是让模型“理解”当前情境并推理出合适的安全边界。
3. 策略验证与执行:生成的策略需要满足两个关键条件:
- 上下文匹配:策略必须精准对应当前具体情境,而非通用规则;
- 人类可验证:策略以人类可理解的形式呈现,允许人工审核和干预。
情境完整性(Contextual Integrity)的理论基础
Conseca的理论根基是Nissenbaum提出的情境完整性(Contextual Integrity)隐私理论。该理论认为,信息流动的 appropriateness(适切性)取决于三个核心维度:
- 行为主体(Actors):谁在发送信息、谁在接收信息;
- 信息类型(Information Types):什么类型的信息被传输;
- 传输原则(Transmission Principles):信息流动应遵循什么规范。
Conseca将这一框架从隐私领域扩展到了智能体安全领域——判断一个操作是否“安全”,取决于操作的主体、客体、类型和情境规范。
与静态策略的对比
| 维度 | 传统静态策略 | Conseca动态策略 |
|---|---|---|
| 策略生成 | 人工预写 | LLM即时生成 |
| 上下文感知 | 有限或无 | 完整上下文 |
| 可扩展性 | 低(无法穷举场景) | 高(自适应) |
| 人工干预 | 事前配置 | 事中验证 |
| 误报/漏报 | 普遍存在 | 理论上有望降低 |
研究设定
实验平台与模型
Conseca的研究建立在作者团队长期积累的AI安全研究基础设施之上:
- Terrarium框架:专门为多智能体系统的安全、隐私研究设计的实验框架,支持对多智能体交互的精细化控制与观测;
- 基础模型:研究涉及Gemini、GPT、Mistral等多个主流LLM作为智能体后端;
- 攻击测试:包括上下文劫持攻击、提示注入攻击等典型攻击向量的评估。
研究团队背景
该研究由UMass Amherst AI Security Lab与Google Research联合完成。作者Eugene Bagdasarian同时担任UMass助理教授和Google兼职高级研究科学家,研究方向聚焦于AI系统在真实部署环境中的安全与隐私攻击向量。该团队的工作获得了Schmidt Sciences AI Safety Grant等资助。
综合分析
为什么“上下文”是关键?
论文的核心论点其实揭示了一个看似简单却常被忽视的真相:安全不是操作的固有属性,而是操作与上下文关系的属性。删除邮件本身无所谓安全或不安全——关键在于谁在删、删什么、为什么删、在什么情境下删。
当前LLM智能体的安全防御往往聚焦于“指令-数据分离”等范式,但正如作者后续研究所揭示的,提示注入的本质不是“数据中藏了指令”,而是“上下文被操纵了” 。当一封邮件中写着“此请求已获部门主管批准”时,问题不是这句话是指令还是数据,而是这句话在上下文中是否为真。这意味着,任何试图通过简单分离指令和数据来防御攻击的方法,本质上都在回避问题的核心。
静态策略的“不可能三角”
Conseca的提出实际上揭示了一个更深层的问题:在通用AI智能体时代,传统安全策略面临一个 “不可能三角” ——安全性、可用性、可管理性三者难以兼得:
- 要保证安全性,策略需要足够严格;
- 要保证可用性,策略需要足够灵活以适应各种合法场景;
- 要保证可管理性,策略需要由人类理解和维护。
传统静态策略在这三者之间不断妥协——严格了影响可用性,灵活了影响安全性,而随着场景数量的指数级增长,可管理性更是无从谈起。Conseca的思路是通过动态生成+人工验证来打破这一僵局:让LLM承担“生成”的繁重工作,让人工承担“验证”的关键把关。
局限与挑战
当然,Conseca也面临诸多挑战。正如后续研究所指出的,利用LLM生成自适应安全策略的方法,LLM本身可能误解任务要求,导致生成过于严格的策略(阻挡合法操作)或过于宽松的策略(允许不安全操作)。此外,有研究更激进地指出,AI智能体可能永远无法完全防御提示注入攻击——因为攻击者总可以构建一个让被阻断的信息流看似合法的上下文。这些挑战恰恰说明了Conseca所开辟的研究方向的重要性,也说明了这是一条需要持续探索的漫漫长路。
实践应用
对AI系统开发者的建议
-
重新审视安全架构:在设计AI智能体安全架构时,不应仅仅依赖预定义的权限清单或规则引擎,而应考虑引入上下文感知的动态策略生成机制。
-
借鉴Conseca的设计思路:即使暂时无法完整实现Conseca框架,也可以在以下方面进行改进:
- 在安全决策中引入更多上下文信号(用户意图、任务目标、操作历史等);
- 设计人类可理解的安全策略表示方式,便于审核与调试;
- 建立策略生成的验证机制,防止LLM误判导致的安全漏洞。
-
关注多智能体场景:随着多智能体系统的普及,安全边界将从“智能体-环境”扩展到“智能体-智能体”交互,需要更复杂的上下文感知安全机制。
对研究者的启示
-
上下文安全是一个新兴且重要的研究方向:从Conseca到后续的提示注入研究,上下文正在成为AI安全研究的核心范式之一。
-
跨学科融合的价值:Conseca将隐私领域的“情境完整性”理论引入安全领域,展示了跨学科理论迁移的创新潜力。
-
“防御”与“可用性”的平衡:任何安全机制都不能以牺牲智能体的核心功能为代价——如何在安全与效用之间找到平衡,将是未来研究的核心课题。
参考资料
- 原始论文:Tsai, L., & Bagdasarian, E. (2025). Contextual Agent Security: A Policy for Every Purpose. HotOS '25. https://arxiv.org/abs/2501.17070
- AirGapAgent:Bagdasarian, E., et al. (2024). AirGapAgent: Protecting Privacy-Conscious Conversational Agents. CCS '24. https://arxiv.org/abs/2405.05175
- Terrarium框架:https://www.arxiv.org/abs/2510.14312
更多推荐



所有评论(0)