机器之心发布

AI 操心期间 ，Agent 越来越像一个信得过的私东谈主助理。

它谨记你的习尚，知谈你的日程，相识你的健康状态，甚而能在恒久对话中逐渐形成一套对于你的「个东谈主画像」。但问题也随之而来：若是这些操心都要上云，秘籍还安全吗？

4 月 22 日，OpenAI 开源了一个名为 privacy-filter 的轻量级秘籍过滤模子，试图处理大模子系统中的 PII 检测与脱敏问题。

OpenAI Privacy Filter 地址：https://openai.com/zh-Hans-CN/index/introducing-openai-privacy-filter/

只是两周后，操心张量 MemTensor 团队拿出了一个更激进的谜底。该决策由操心张量 MemTensor 与荣耀 HONOR 团队搭伙研发，同济大学也参与其中 —— 这亦然端侧厂商与操心基础要道团队初度在「Agent 秘籍」这件事上深度联结。

他们认真开源了面向端云协同 Agent 的秘籍保护框架与系列模子 MemPrivacy。更令东谈主不测的是，在相通的的确对话秘籍索求任务上，MemPrivacy 的 F1 分数最高比 OpenAI privacy-filter 越过 50.47 %。

这并不是一次临时跨界。

在此之前，操心张量依然推出 MemOS，把 Agent 操心从向量库或 RAG 插件，栽培为可料理、可转机、可演化的系统资源：记什么、怎么检索、怎么更新、怎么治理，都被放进一套「操心操作系统」里。

MemPrivacy 更像是 MemOS 往端云协同场景当然长出的秘籍层 —— 当 Agent 驱动恒久记着用户偏好、健康状态、账号笔据和职责凹凸文时，问题就不单是「能不行记着」，而是「能不行安全地记着」。这也让操心张量作念 MemPrivacy 显得铿锵有劲：它不是从通用 PII 打码动身，而是平直从 Agent 恒久操心的的确使用场景动身，再行界说秘籍类型、保护级别和占位符机制。

发布本日，MemPrivacy 即上榜 Hugging Face Daily&Weekly Papers TOP1。

这不是一个简便的「秘籍打码用具」。

它对准的是下一代个性化 Agent 最中枢、也最毒手的问题：怎么让云表大模子赓续领有恒久操心和个性化能力，同期又不让用户的敏锐数据信得过离开土产货？

换句话说，MemPrivacy 想作念的事情是：让 Agent 可用，但不可见。

论文标题：MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents

OpenAI 入局

但 8 个标签撑不起 Agent 的恒久操心

OpenAI 的 privacy-filter 想路很简便：扫描文本，识别秘籍片断，然后替换谚语义标签。

比如，把用户输入中的东谈主名「Maya」替换成 [PRIVATE_PERSON]。

这套模子领有 1.5B 参数，其中激活参数约 50M，继承双向 Token 分类架构，扶直 128k 凹凸文，主打高吞吐量 PII 检测与掩码。

比拟传和谐律替换成 *** 的打码形状，这诚然依然进了一步：它至少保留了一部分语义。

但放到端云 Agent 的恒久操心场景里，问题很快暴浮现来了。

OpenAI privacy-filter 只提供 8 类基础秘籍标签。对于庸碌表单脱敏，这也许够用；但对于一个需依次会用户、恒久操心用户、甚而调用用具替用户践诺任务的 Agent 来说，这个粒度太粗了。

银行卡号、社保编号、技俩档案号，可能都会被塞进覆没个 [ACCOUNT_NUMBER]。登录密码、数据库笔据、API Key、里面密钥，也可能王人备变成 [SECRET]。

这就像把整个危境物品都贴上「危境」两个字。

安全是安全了小数，但语义也被抹平了。

信得过的问题在于，Agent 不是数据库清洗剧本。它需依次会凹凸文、保留关系、形成操心，并在改日的对话中赓续使用这些信息。

当用户说「我的血压今天是 160/110」时，这不是庸碌数字，而是健康目的；当用户说「这是我公司数据库的纠合串」时，这也不是庸碌文本，而是高危笔据。粗粒度标签一朝识别不到，就会漏；一朝识别错，就会放弃语义。

于是，秘籍过滤参预了一个两难场所：

漏判，用户秘籍裸奔；误判，Agent 就地失忆。

这恰是下一代个性化 Agent 最难绕开的矛盾。

MemPrivacy 登场

不是抹掉秘籍，而是给秘籍换一张「土产货身份证」

操心张量 MemTensor 团队建议的 MemPrivacy，中枢想路叫作念：土产货可逆伪匿名化。

它不是把秘籍信息简便删除，也不是替换成无意旨的星号，而是在端侧完成一次更致密的「偷梁换柱」。

通盘经由不错拆成三步。

第一步，端侧上行脱敏。

用户在手机、PC 等角落扶植上与 Agent 对话时，土产货会先运行一个轻量级 MemPrivacy 模子。它负责识别对话中的秘籍片断，并根据用户建立的保护品级进行处理。

若是文本里出现「我的血压今天是 160/110」，MemPrivacy 不会平直把它变成 ***，而是替换为肖似 这么的细粒度类型化占位符。

的确血压值与占位符之间的映射关系，只保存在土产货数据库里。

第二步，云表安全处理。

云表大模子看到的是：「我的血压今天是 。」

它看不到 160/110 这个明文敏锐数据，但依然知谈这里是一个健康目的，因此不错赓续进行推理、生成建议、形成操心，甚而调用相干用具。

第三步，端侧下行复原。

当云表回应「您的血压 偏高」时，土产货系统再把占位符复原成的确数值，最终呈现给用户。

在用户体验上，这个过程险些是透明的。

但在系统架构上，环节敏锐数据从未信得过离开土产货。

这等于 MemPrivacy 最蹙迫的假想：让云表看懂结构，但看不到明文。

三种阶梯对比

无保护裸奔，全过滤失忆，MemPrivacy 保留才气

在端云 Agent 场景里，传统秘籍保护大概有两种顶点决策。

第一种是无保护。

用户原始数据平直上云。云表模子诚然不错齐全相识凹凸文，个性化成果最佳，但健康数据、私东谈主邮箱、家庭住址、账号笔据等敏锐信息也会齐全败露。

在数据合规越来越严格的今天，这险些是在走钢丝。

第二种是完全过滤。

整个秘籍内容都被替换成 *** 或平直删除。看起来很安全，但代价是 Agent 透澈失去环节语义。用户想让它记着健康景象、财务拘谨、职责凹凸文，世界杯压球官网它却只可看到一派空缺。

这类 Agent 看似安全，试验上依然丧失了「恒久个性化」的基础。

MemPrivacy 采用的是第三条路：细粒度类型化占位符。

云表不知谈你的的确血压是几许，但知谈这是一个健康目的；不知谈你的私东谈主邮箱是什么，但知谈这里有一个邮箱；不知谈你的 API Key 明文，但知谈这里是一个高危笔据。

这种假想保住了两个东西：一是秘籍鸿沟，二是语义结构。

也正因如斯，MemPrivacy 才有契机在秘籍保护和 Agent 遵循之间赢得均衡。

硬核实力

F1 分数甩开 OpenAI 超 50 点，完爆 GPT-5.2

为了考证 MemPrivacy 的能力，盘考团队构建了一个新的评测基准 MemPrivacy-Bench。这个基准隐匿 200 个用户的对话历史，包含卓著 15.5 万个秘籍项，并扶直中英双语秘籍信息检测。

此外，为了测试泛化能力，团队还在外部个性化长文本对话数据集 PersonaMem-v2 上进行了 OOD 交叉测试。

在这两大基准的索求准确率（秘籍文本、级别、类型的笼统 F1 分数）较量中，MemPrivacy 均展现出了碾压级的上风：

远超 OpenAI 专项模子：

在 MemPrivacy-Bench 上，OpenAI privacy-filter 的笼统 F1 分数只好 35.50%。

而 MemPrivacy-4B-RL 达到了 85.97%，两者差距高达惊东谈主的 50.47%！即使是在跨散播的 PersonaMem-v2 数据集上，MemPrivacy 依然最初 OpenAI 近 9%。

原因也很明晰：OpenAI privacy-filter 的上风在速率，非自讲究 Token 分类架构带来了很高吞吐量；但它的问题在于标签隐匿窄、颗粒度粗，对复杂凹凸文和华文场景的适配不及。

MemPrivacy 则针对 Agent 长操心场景再行界说了秘籍类型、保护级别和试验方向，因此在的确对话中更接近试验需求。

更故真谛的是，MemPrivacy 不单是赢了 OpenAI 的专项小模子。

越级挑战通用大模子：

即使濒临参数目极其宏大的最强通用模子 GPT-5.2、Gemini-3.1-Pro 以及 DeepSeek-V3.2-Think，MemPrivacy-4B 乃至仅有 0.6B 的袖珍版块在两个数据集上均兑现了碾压。

这阐明，秘籍索求不是简便堆大参数就能处理的问题。

它更像一个高度结构化、强拘谨、强鸿沟感的任务。信得过蹙迫的不是模子有多大，而是它是否相识「什么信息该被保护、该保护到什么进程、保护后还能不行赓续被 Agent 使用」。

不让 Agent 变傻

系统遵循蚀本最低不到 1%

秘籍保护还有一个更现实的问题：保护得再好，若是 Agent 变傻了，亦然遽然。

这亦然好多粗野脱敏决策的死穴。

用户说：「我最近血压偏高，帮我记着，以后安排畅通盘算时注重小数。」

若是系统把血压、健康状态、畅通偏好沿途抹掉，云表模子诚然安全了，但它也没法再提供信得过个性化的奇迹。

MemPrivacy 的类型化占位符果然能保留操心系统的遵循吗？

团队在业界几个主流操心系统平台上进行了端到端测试。整个底座均继承和谐的 GPT-4.1 模子。

实验扫尾令东谈主奋斗：

当继承传统的不可逆掩码（Irreversible Masking）时，三大操心系统的准确率差异暴跌了 26.67%、41.87% 和 16.99%，模子险些处于失忆的瘫痪状态。

而在 MemPrivacy 保护下（最高防患级别 PL4+PL3+PL2 全开），系统遵循蚀本被死死欺压在 0.71% ~ 1.60% 之间。若是用户仅采用保护最高风险的笔据级秘籍（PL4），准确率下跌甚而不到 0.89%。

这意味着，MemPrivacy 信得过作念到了在不伤害智能体才气的前提下，把秘籍泄漏风险降到了最低。

这恰是 MemPrivacy 的环节价值：它不是在「安全」和「智能」之间二选一，而是试图把两者阻隔 —— 明文不上云，但语义仍然可用。

四级秘籍树

终于把「什么是秘籍」阐明注解晰了

MemPrivacy 能作念到这小数，背后一个蹙迫原因是：它莫得把秘籍手脚一个简便的二分类问题。

传统秘籍过滤时常是「要么脱敏，要么全明文」。但的确天下远比这复杂。

MemPrivacy 引入了以可识别性、潜在危害性与可愚弄性为准绳的四级秘籍分类法 (PL1-PL4)，从而扶直用户根据需求摆脱调控脱敏阈值：

PL4 致命中枢级（最高告诫笔据与玄妙）

这一层包括明文密码、考证码、Session、Cookie、API Key、里面贸易玄妙等。一朝浮现，就可能导致账户袭取、资金盗刷、系统越权或大鸿沟数据浮现。

这类数据一朝检测到，系统将实行 “绝对零容忍” 箝制，严禁参预云表凹凸文。

PL3 高危敏锐级（激励生命财产风险的红线数据）

包括身份证件号、认真医疗会诊、生理目的、精确轨迹定位、生物特征、敏锐糜费记载等。它们不一定平直等于账号权限，但足以对东谈主身安全、财产、健康和声誉形成本质伤害。

PL2 身份锚定级（可溯源的秀丽信息）

包括的确姓名、认真地址、手机号、私东谈主邮箱、IP 地址、马虎账号等。单独或组合起来，不错定位到具体当然东谈主。尤其是「公司 + 职位 + 姓名」这类组合，在的确场景中也具备很强的可识别性。

PL1 基础画像级（安全可用的个性化基石）

包括作息习尚、兴味偏好、非会诊性样式、抒发立场等。这类信息是个性化 Agent 的基础，一般不会带来本质伤害，因此不错安全用于恒久操心。

这套分层假想的意旨在于 —— 它让秘籍保护不再是一把锤子。

相通是糜费记载，「在超市花了 86 块钱」可能只是往常偏好；但某笔带有明确医疗属性的糜费，则可能参预 PL3。

相通是数字，有些只是庸碌计数，有些却是血压、身份证号、考证码或 API Key。

这等于细粒度秘籍识别信得过贫窭的所在：模子必须相识语义、凹凸文、风险和用途。

两阶段试验

让模子信得过相识秘籍鸿沟

在模子试验上，MemPrivacy 继承了 Qwen3 系列作为基座，隐匿 0.6B、1.7B、4B 多个规格。

试验过程分为两个阶段。

第一阶段是 SFT。

团队使用 26K 高质料多轮对话数据进行监督微调，让模子掌合手基础的秘籍定位、类型识别和占位符替换能力。

第二阶段是 GRPO 强化学习。

团队引入基于结构化 Reward 的政策优化，用索求扫尾的 F1 分数平直反应模子发扬。

这一步的意旨在于，秘籍识别最难的常常不是可想而知的手机号或邮箱，而是鸿沟吞吐、依赖凹凸文的细粒度信息。

比如一句「我最近压力很大」是否需要脱敏？

一句「我的血压今天 160/110」又该被划到什么级别？

某个字符串到底是庸碌 ID，如故里面笔据？

GRPO 让模子在这些吞吐鸿沟上进一步优化调回率与精确率的均衡，最终带来了 MemPrivacy 在多个测试集上的昭彰上风。

结语

端云 Agent 的下一块基础要道

在万物皆可 Agent 的改日，大模子比你更懂你我方是势必趋势，但比你更懂你，不代表让云表看光你。

OpenAI privacy-filter 的发布敲响了数据清洗和秘籍合规的发令枪；而操心张量与荣耀 AI 搭伙发布的 MemPrivacy，则为下一代云边协同架构（Edge-Cloud Agents）提供了一套平直可用、高精度、低损耗的标杆级工程解法。不管是对于开导个东谈主 AI 助理的 AI Builders，如故对于需要爽朗严苛数据合规（如 GDPR）的企业级出海应用，MemPrivacy 都展现出了不可权衡的贸易与时间价值。

在这件事上，荣耀并不是一个就怕出现的联结方。从 MagicOS 到 YOYO，荣耀一直在尝试把更多 AI 能力信得过放进扶植自己。这亦然为什么 MemPrivacy 的决策会和荣耀的端侧 AI 阶梯自然契合。

MemPrivacy 在荣耀末端扶植上的落地，则是此次联结的进一步延长：0.6B 到 4B 的多档模子自己等于为端侧部署假想的。当越来越多东谈主驱动习尚通过 YOYO 这么的 Agent 完成健康、出行、职责甚而财务相干的任务时，用户信得过需要的，其实是一个 “既懂你、又不会看光你” 的 AI。

对端云 Agent 来说，“可操心” 之后，“可安全操心” 正在成为下一阶段信得过的基础要道问题。

当今，MemPrivacy 的模子权重与评测基准已沿途开源。秘籍与恒久操心之间那谈以前险些无法兼得的墙2026世界杯-最新版官方软件，也第一次驱动出现了被买通的可能。