ai, security,

一分钟读论文:《AgentCIBench:Computer-Use Agent的跨上下文隐私泄露》

Unbug By Unbug Follow Jun 23, 2026 · 1 min read
一分钟读论文:《AgentCIBench:Computer-Use Agent的跨上下文隐私泄露》
Share this

德国达姆施塔特大学UKP实验室和ATHENE网络安全研究中心合作的一篇论文《Capable but Careless: Do Computer-Use Agents Follow Contextual Integrity?》,首次将Contextual Integrity理论引入AI Agent评估领域,发现Computer-Use Agent在执行跨应用任务时存在严重的上下文泄露问题:高能力代理反而是最严重的隐私泄露者。在15个前沿代理中,80%在超过一半的测试场景中出现信息泄露,平均泄露率达到67.9%。

核心发现

Contextual Integrity理论由Helen Nissenbaum提出,其核心观点是隐私不是绝对保密,而是信息流动是否符合特定上下文中的规范。Computer-Use Agent同时访问邮件、日历、待办等多个应用,天然面临跨上下文信息不当流动的风险。

论文测试了15个前沿代理的表现,发现了一个反直觉的现象:能力越强的代理,泄露反而越严重。Gemini-3.1-Pro的任务完成率达98.3%,泄露率同样高达98.3%;Qwen-3.6-Max的泄露率超过88.9%。相比之下,Claude-Opus-4.7任务完成度高于75%,但泄露率仅为14.0%。在效用高于75%的代理中,泄露率跨度达84个百分点,说明任务完成度和隐私安全性几乎完全脱钩。GPT-5.4通过拒绝执行41.9%的场景来降低原始泄露率,但其参与后的实际条件泄露率仍高达32.4%,表明简单的”不配合”并不能从根本上解决问题。

三种失败模式

论文识别出导致上下文泄露的三种典型失败模式:视觉共置(VCL)是UI层面相邻内容导致的信息污染——当两个不相关的信息在界面上彼此靠近时,代理会错误地将它们关联并传递给另一个应用。任务歧义过度分享(TAO)发生在模糊请求下,代理倾向于提供超出必要范围的信息来确保”完整性”,结果将本不该披露的内容一并发送。接收者错位(RMA)是最直接的问题:代理向不合适的接收者发送了信息,例如将私人笔记通过邮件发送给工作联系人。

基准测试架构

AgentCIBench由三个核心组件构成。场景生成引擎基于蒙特卡洛树搜索(MCTS),从28个种子场景出发,应用针对Contextual Integrity的变异策略进行探索,最终生成117个评估场景。OpenApps工作空间渲染器构建了一个受控的六应用个人工作空间,每个场景都明确定义了必须分享和禁止分享的信息集合。混合评分管道结合了确定性匹配器和LLM评判器:前者检测精确和近似提及,后者捕捉字符串匹配遗漏的表达。输出四个核心指标:效用率衡量任务完成度,原始泄露率统计所有场景中的泄露比例,拒绝率记录代理拒绝执行的比例,条件参与泄露率排除被拒绝的场景后计算实际泄露水平。

轻量级干预效果

论文测试了三种轻量级提示干预措施:仅需修改提示词即可将条件泄露率降低33至36个百分点,同时提升15.7到23.1个百分点的效用。这表明上下文泄露并非不可修复的系统性缺陷。

结论是明确的:当前Computer-Use Agent在跨上下文隐私保护方面存在系统性不足。高能力代理因为更积极地执行任务、更广泛地利用可用信息,反而成为最严重的泄露者。AgentCIBench为这一被忽视的安全维度提供了可复现的评测框架,轻量级提示干预的有效性也表明工程层面的改进同样能带来显著效果。

References

Agent Privacy Benchmark
Related
  1. 一分钟读论文:《通过智能体轨迹解剖模型行为》
    In AI, Agent,
  2. 一分钟读论文:《SpecBench:面向软件工程 Agent 的规范级推理评估》
    In AI, SoftwareEngineering,
  3. 一分钟读论文:《元认知记忆策略优化》
    In AI, LLM,
  4. AI 范式雷达:《Long Horizon Agent 全栈设计:从接单到交付的工程蓝图》
    In AI, ParadigmRadar, Agent,
  5. 一分钟读论文:《PRIME:通过迭代记忆进化实现用户中心Agent的主动推理》
    In AI, Agent,
  6. 一分钟读论文:《基于代理的集成推理解决仓库级问题》
    In AI, 软件工程,
  7. 一分钟读论文:《当工具失败时:LLM智能体的动态重规划与异常恢复基准测试》
    In AI, Agent,
  8. 一分钟读论文:《Humanity's Last Exam:评估 AI 能力的专家级学术问题基准》
    In AI,
  9. 一分钟读论文:《自动合成多智能体漏洞发现方案》
    In AI, Security,
  10. 一分钟读论文:《瞬态轮次注入:暴露大语言模型的无状态多轮漏洞》
    In AI, Security,
  11. 一分钟读论文:《大模型时代的奖励黑客与缓解策略》
    In AI, Security,
  12. 一分钟读论文:《Meerkat:发现基准测试中 4 倍安全漏洞》
    In AI, Security,
  13. 一分钟读论文:《OpenClaw 自主代理的安全威胁分析》
    In AI, Security,
  14. 一分钟读论文:《AI 模型会自发保护同伴吗?》
    In AI, Security,
  15. 一分钟读论文:《AI Agent 的根本安全模型 ClawLess》
    In AI, Security,
  16. 一分钟读论文:《量化大语言模型中的自我保存偏见》
    In AI, Security,
  17. 一分钟读论文:《自主AI Agent的自我保存行为检测协议》
    In AI, Security,
  18. 一分钟读论文:《AI 模型会自发结盟保护同伴吗?》
    In AI, Security,
  19. 一分钟读论文:《AI Agent 安全框架与隐私保护:MCPShield、TRiSM 与 GDPR 综合研究》
    In AI, Security,
  20. Google DeepMind 揭示 6 类 AI Agent 网络攻击陷阱:首个系统性威胁模型解析
    In AI, Security, Research,
  21. 一分钟读论文:AI 时代的软件安全基石:人类认证的模块仓库
    In AI, Security,
  22. 一分钟读论文:《开源软件供应链攻击分类》
    In Security,
  23. 一分钟读论文:《移动设备上数据的加密保密性》
    In Security,
  24. 一分钟读论文:《人类解决验证码有多强?大规模评估》
    In Security,
  25. 一分钟读论文:《寻找失去的时间:浏览器中 JavaScript 定时器的综述》
    In Security, FrontEnd,
  26. 一分钟读论文:《工程师如何遵循 NPM 包安全最佳实践?》
    In Security,
  27. 一分钟读论文:《不经意伪随机函数 (OPRF)》
    In Security,
  28. 一分钟读论文:《Bug 的隐秘生命周期:大规模实证研究》
    In Security,
  29. 一分钟读论文:《战争与和平:世界政治对软件生态系统的影响》
    In SoftwareEcosystem, Security,
  30. 一分钟读论文:《XSS 攻击22年:全面调查及系统综述》
    In Security,
  31. 一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》
    In Security,
  32. 一分钟读论文:《SMASH:通过 JavaScript 触发同步多边 Rowhammer 攻击》
    In Security,
  33. 一分钟读论文:《Montage:基于神经网络语言模型 (NNLM) 实现 JS 引擎模糊测试器》
    In Security,
  34. 一分钟读论文:《NPM 供应链的软肋是什么?》
    In Security,
  35. AI 范式雷达:《HarnessFix——从失败轨迹到可靠 Agent 的自动修复》
    In AI, ParadigmRadar,
  36. 一分钟读论文:《LedgerAgent:面向策略遵循的工具调用智能体的结构化状态管理》
    In AI, Agent,
  37. 一分钟读论文:《重新思考还是延长预算?面向推理预算的选择性验证》
    In AI, Agent,
  38. AI 范式雷达:《递归自改进警告:Anthropic 为何呼吁全球暂停 AI 研发》
    In AI, ParadigmRadar,
  39. 一分钟读论文:《Agent记忆的遗忘架构学》
    In AI, Agent,
  40. AI 范式雷达:《Agent的Token账单:1000倍消耗差异背后的工程真相》
    In AI, ParadigmRadar,
  41. AI 范式雷达:《用形式化逻辑给 AI Agent 装上可证明的安全护栏》
    In AI, ParadigmRadar,
  42. AI 范式雷达:《OrchRM——多智能体编排的自监督奖励建模新范式》
    In AI, ParadigmRadar,
  43. AI 范式雷达:《Agent安全新范式:从静态对齐到动态诊断护栏》
    In AI, ParadigmRadar,
  44. AI 范式雷达:《Agent评估新标准:用A2A+MCP协议实现基准即Agent》
    In AI, ParadigmRadar,
  45. AI 范式雷达:《从端到端成功率到细粒度规划诊断》
    In AI, ParadigmRadar,
  46. 一分钟读论文:《选择性形式化与门控执行》
    In AI, Agent,
  47. 一分钟读论文:《干预支持的静默失败错误归因》
    In AI, Agent,
  48. AI 范式雷达:《自适应潜在推理:让 Agent 少想但想深》
    In AI, ParadigmRadar,
  49. 一分钟读论文:《自适应潜在智能体推理》
    In AI, Agent,
  50. AI 范式雷达:《自适应潜在推理:让 Agent 少想但想深》
    In AI, ParadigmRadar,
  51. 一分钟读论文:《通过自我调节模拟规划实现高效智能体推理》
    In AI, AgentReasoning,
  52. 一分钟读论文:《TOKI:LLM Agent持久记忆矛盾解决的双时间算子代数》
    In AI, Agents,
  53. AI 范式雷达:《软件工程的终结:AI Agent 如何重写开发范式》
    In AI, ParadigmRadar, SoftwareEngineering,
  54. AI 范式雷达:《Agent 记忆架构:从 flat retrieval 到 agentic control 的十年演进》
    In AI, ParadigmRadar,
  55. 一分钟读论文:《用 LLM 作为开发者评估 Agent 开发框架》
    In AI, SoftwareEngineering,
  56. 一分钟读论文:《思想的经济:Agent经济交互中的多智能体智能涌现》
    In AI, Multi-Agent,
  57. AI 范式雷达:《Agent OS 时代:微软与 NVIDIA 如何重塑部署范式》
    In AI, ParadigmRadar, Agent,
  58. AI 范式雷达:《高质量合成数据让多步工具调用性能飙升 10%》
    In AI, ParadigmRadar,
  59. 一分钟读论文:《像团队一样进化:基于大语言模型的多智能体系统协作自我进化》
    In AI, MultiAgent,
  60. AI 范式雷达:《裁员换 AI,为何成本长期上升、利润反而负增长》
    In AI, ParadigmRadar,
  61. AI 范式雷达:《AI Coding 时代,功能膨胀如何杀死好产品》
    In AI, ParadigmRadar,
  62. AI 范式雷达:《AI 正在让开源协议失去约束力》
    In AI, ParadigmRadar,
  63. 一分钟读论文:《多智能体什么时候该用、什么时候不该用?》
    In AI, MultiAgent,
  64. 一分钟读论文:《同等预算下,单智能体为何胜过多智能体?》
    In AI, MultiAgent,
  65. 一分钟读论文:《把百亿模型装进手机:TIDE实现扩散语言模型跨架构蒸馏》
    In AI, MachineLearning,
  66. 一分钟读论文:《Agent实现AlphaZero流水线》
    In AI, MultiAgent, MachineLearning,
  67. 一分钟读论文:《多智能体工作流中完全循环子任务图的灵活性与成本》
    In AI, MultiAgent,
  68. 一分钟读论文:《多智能体语言系统的端到端通信优化》
    In AI, MultiAgent,
  69. 一分钟读论文:《用扩散语言模型统一多模态理解与生成》
    In AI, Multimodal,
  70. 一分钟读论文:《LLM Agent 的外化设计范式》
    In AI, LLM,
  71. 一分钟读论文:《MASS-RAG:多智能体协同的检索增强生成》
    In AI, LLM,
  72. 一分钟读论文:《LLM 智能体在社交困境中的合作机制》
    In AI, MultiAgent,
  73. 一分钟读论文:《归一化计算下单Agent为何优于多Agent》
    In AI, Agents,
  74. 一分钟读论文:《诊断LLM裁判的可靠性:共形预测集与传递性违规》
    In AI, MachineLearning,
  75. 一分钟读论文:《轨迹级奖励建模基准:Agent 对齐新挑战》
    In AI, MachineLearning,
  76. 一分钟读论文:《迈向具身 AGI:具身 AI 综述与未来之路》
    In AI, Robotics, EmbodiedAI,
  77. 一分钟读论文:《迈向具身 AGI:具身 AI 综述与未来之路》
    In AI, Robotics, EmbodiedAI,
  78. 一分钟读论文:《生成式AI重构软件工程,开发者生产力提升55.8%》
    In AI, 软件工程,
  79. 一分钟读论文:《AI 会搞阴谋诡计吗?这项研究给出了答案》
    In AI,
  80. 一分钟读论文:《AlphaEvolve - 用 LLM 自动发现多智能体学习算法》
    In AI,
  81. 一分钟读论文:《Alien Science——让 AI 探索人类思维的盲区》
    In AI,
  82. 一分钟读论文:《洗车问题暴露大语言模型的根本缺陷?提示词架构决定推理质量》
    In AI, 论文阅读,
  83. 一分钟读论文:《HumanOrbit:从一张照片生成 360° 环绕视频,让 AI 帮你「转」着看人》
    In AI, 计算机视觉, 3D重建,
  84. 一分钟读论文:《AI 数学家诞生?Google DeepMind 的 Aletheia 自主解决 10 个数学难题中的 6 个》
    In AI, 研究论文,
  85. 一分钟读论文:《SemVideo:从大脑 fMRI 直接重建视频!读心术真的来了?》
    In AI, 脑机接口, 神经科学,
  86. 一分钟读论文:《LLM 去匿名化时代来临:你的匿名评论可能正在暴露你的真实身份》
    In AI,
  87. 一分钟读论文:《Agent World Model:用 1000 个合成环境训练 AI 智能体,突破训练数据瓶颈》
    In AI,
  88. 一分钟读论文:《何恺明团队再出大招:Drifting Models 挑战扩散模型,单步生成高质量图像》
    In AI, 论文, 生成模型,
  89. 一分钟读论文:《自言自语:让大语言模型告别灾难性遗忘》
    In AI,
  90. 一分钟读论文:《LUCID Attention:给长上下文模型戴上降噪耳机》
    In AI, Research, Transformer,
  91. 一分钟读论文:《HRM 架构突破:用仅 2700 万参数和 1000 个训练样本超越最先进的大语言模型》
    In AI,
  92. 一分钟读论文:《ELM 架构突破:Modulate 用 100+ 个小模型打败 LLM,开启语音 AI 新时代》
    In AI, 论文,
  93. 一分钟读论文:《突破传统:ReSU 神经网络单元——从果蝇大脑中获得的 AI 新灵感》
    In AI, 神经科学, 机器学习,
  94. 一分钟读论文:《AI 共同研究员时代到来:当 Claude、Gemini 和 ChatGPT 成为真正的科研合作者》
    In AI, 科学研究,
  95. 一分钟读论文:《DeepSeek-R1:用纯强化学习解锁大语言模型的推理能力》
    In AI,
  96. 一分钟读论文:《HybridQuestion:人类-AI 协作发现 2025 年十大科学突破与 2026 年重大科学问题》
    In AI,
  97. 一分钟读论文:《Google Titans + MIRAS:终结 AI 健忘症,让模型拥有真正的长期记忆》
    In AI,
  98. 一分钟读论文:《量子储层计算重大突破!在多体混沌边缘实现最佳性能,为量子AI开辟新道路!》
    In AI,
  99. 一分钟读论文:《PAN 世界模型炸场!MBZUAI 黑科技让 AI 学会脑补现实世界》
    In AI,
  100. 一分钟读论文:《Google Nested Learning:突破AI灾难性遗忘的新范式》
    In AI, 机器学习, 深度学习,
  101. 一分钟读论文:《MiroFlow:面向深度研究任务的高性能开源智能体框架》
    In AI,
  102. 一分钟读论文:《GLM-5:从「氛围编程」到「智能体工程」的范式跃迁》
    In AI,
  103. 一分钟读论文:《DeepSeek-R1:用纯强化学习解锁大语言模型的推理能力》
    In AI,
  104. 一分钟读论文:《DeepSeek Engram:颠覆GPU内存瓶颈!把知识存储从计算中分离,O(1)查找效率!》
    In AI,
  105. 一分钟读论文:《ICLR 2025 杰出论文:一次训练就能计算数据价值——AI 版权和数据治理的新突破》
    In AI,
  106. 一分钟读论文:《AlphaEvolve:AI 打破 56 年数学纪录,发现更快的矩阵乘法算法》
    In AI,
  107. 一分钟读论文:《AI原生粒子加速器:让大型科学设施学会自动驾驶》
    In AI,
  108. 一分钟读论文:《三个 AI 走进酒吧:聪明的 AI 也会搞部落主义?》
    In AI,
  109. 一分钟读论文:《RWML:让 LLM 智能体学会预测未来》
    In AI,
  110. 一分钟读论文:《Agentic Reasoning:从被动推理到主动智能的完整路线图!》
    In AI, 论文解读,
  111. 一分钟读论文:《ReSyn:自动生成1000个推理环境,让AI学会真正的思考!》
    In AI, 论文解读,
  112. 一分钟读论文:《Agent World Model:1000 个合成环境,让 AI 智能体学习效率翻倍》
    In AI, Agent,
  113. 一分钟读论文:《Agent World Model 研究:1000 个合成环境推动智能体训练革命》
    In AI, Agent,
  114. 一分钟读论文:《DeepMind Genie 3 研究:实时交互式 3D 世界模型的重大突破》
    In AI, deepmind,
  115. 一分钟读论文:《Genie 3: DeepMind 发布首个实时交互式世界模型》
    In AI, 论文解读,
  116. 一分钟读论文:《当 Many-Shot Prompting 失败时:LLM 代码翻译的实证研究》
    In AI, LLM,
  117. 一分钟读论文:《Google Nested Learning:破解 AI 灾难性遗忘的革命性范式》
    In AI, 深度学习,
  118. 一分钟读论文:《自然语言摘要实现微服务多仓库 Bug 定位》
    In AI, 软件工程,
  119. 一分钟读论文:生成式 AI 正在重构软件工程的未来
    In AI, 软件工程,
  120. 一分钟读论文:《生成式AI在软件工程中的应用:变革软件开发流程》
    In AI, Software Engineering,
  121. 一分钟读论文:《Gated Attention:用一个小阀门让 LLM 性能飙升》
    In AI, 深度学习,
  122. 一分钟读论文:《EnAgent:三个AI智能体组队,登顶代码修复榜单》
    In AI, 软件工程,
  123. 一分钟读论文:《MCP 一周年:从内部实验到行业标准》
    In AI, Agent,
  124. 一分钟读论文:《Specine:让大语言模型真正“读懂”你的需求》
    In AI, 软件工程,
  125. 一分钟读论文:《大语言模型代码生成的规格对齐》
    In AI, 软件工程,
  126. 一分钟读论文:《小模型团队如何超越大模型》
    In AI, 软件工程,
  127. 一分钟读论文:《从“能用”到“好用”:让AI真正学会软件工程》
    In AI, 软件工程,
  128. 一分钟读论文:《让AI像程序员一样边写代码边调试》
    In AI, 软件工程,
  129. 一分钟读论文:《CGM:让AI像程序员一样理解整个代码库》
    In AI, 软件工程,
  130. 一分钟读论文:《小语言模型作为评委提升代码生成》
    In AI, 软件工程,
  131. 一分钟读论文:《GitHub Copilot 的代码生成稳健吗?》
    In AI, Software Engineering,
  132. 一分钟读论文:《ChatGPT 提示模式:提升代码质量、重构、需求获取和软件设计》
    In AI, Software Engineering,
  133. 一分钟读论文:《Scratch Copilot:用 AI 支持青少年创意编程》
    In AI, 编程教育,
  134. 一分钟读论文:《Chrome 〈!DOCTYPE aigc〉: 你的网页何必是 HTML》
    In AI, FrontEnd,
  135. 一分钟读论文:《ChatGPT for Robotics:设计原则和模型能力》
    In AI, Engineering,
  136. 一分钟读论文:《GPT-minify: All JS bundle size 97% off》
    In AI, FrontEnd,
  137. 一分钟读论文:《ChatGPT 提示模式:提高代码质量、重构、需求获取和软件设计》
    In AI, Engineering, Engineer,
  138. 一分钟读论文:《基于 ChatGPT、AR 和 Voicebots 的儿童外教软件设计框架》
    In AI, Engineering,
  139. 一分钟读论文:《ChatGPT:在线考试诚信的终结?》
    In AI,
Featured
  1. 一分钟读论文:《Scratch Copilot:用 AI 支持青少年创意编程》推荐
    In AI, 编程教育,
  2. 一分钟读论文:《技术债的普遍性、原因和影响:业界系统调查》推荐
    In Engineering, Architecture,
  3. 一分钟读论文:《玩转 GitHub 开源软件社区的必备技能树》推荐
    In OpenSource, Engineer,
  4. 一分钟读论文:《ChatGPT 提示模式:提高代码质量、重构、需求获取和软件设计》
    In AI, Engineering, Engineer,
  5. 一分钟读论文:《用 Rust 和 WebAssembly 补充 JS 实现高性能 Node、Web 应用程序》
    In Architecture, Performance,
  6. 一分钟读论文:《通过反思性目标设定培养工程师的好习惯》
    In Engineer, Productivity,
  7. 一分钟读论文:《卓越的开源维护者是如何成就的?》
    In OpenSource, Engineer,
  8. 一分钟读论文:《我们走了多远——WebAssembly 运行时的全面特征研究》
    In FrontEnd,
  9. 一分钟读论文:《XSS 攻击22年:全面调查及系统综述》
    In Security,
  10. 一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》
    In Security,
  11. 一分钟读论文:《影响大规模敏捷软件开发按时交付的因素》
    In Productivity,
  12. 一分钟读论文:《被掏空的一天:软件工程师的日常》
    In Productivity, Engineer,
  13. 一分钟读论文:《30年软件重构研究:系统性文献综述》
    In Engineering,
  14. 一分钟读论文:《要不要上 TypeScript?GitHub 上 JS 和 TS 应用软件质量的系统比较》
    In FrontEnd,
  15. 一分钟读论文:《NPM 供应链的软肋是什么?》
    In Security,
一分钟读论文:《通过智能体轨迹解剖模型行为》
AI 范式雷达:《HarnessFix——从失败轨迹到可靠 Agent 的自动修复》