越懂你，越危險？MemPrivacy揭示AI記憶下一站

機器之心發布

AI 記憶時代 ，Agent 越來越像一個真正的私人助理。

它記得你的習慣，知道你的日程，理解你的健康狀態，甚至能在長期對話中逐漸形成一套關于你的「個人畫像」。但問題也隨之而來：如果這些記憶都要上云，隱私還安全嗎？

4 月 22 日，OpenAI 開源了一個名為privacy-?lter的輕量級隱私過濾模型，試圖解決大模型系統中的 PII 檢測與脫敏問題。

• OpenAI Privacy Filter 地址：https://openai.com/zh-Hans-CN/index/introducing-openai-privacy-filter/

僅僅兩周后，記憶張量 MemTensor 團隊拿出了一個更激進的答案。該方案由記憶張量 MemTensor 與榮耀 HONOR 團隊聯合研發，同濟大學也參與其中 —— 這也是端側廠商與記憶基礎設施團隊首次在「Agent 隱私」這件事上深度合作。

他們正式開源了面向端云協同 Agent 的隱私保護框架與系列模型MemPrivacy。更令人意外的是，在同樣的真實對話隱私提取任務上，MemPrivacy 的 F1 分數最高比 OpenAI privacy-filter 高出50.47 %

這并不是一次臨時跨界。

在此之前，記憶張量已經推出 MemOS，把 Agent 記憶從向量庫或 RAG 插件，提升為可管理、可調度、可演化的系統資源：記什么、怎么檢索、如何更新、如何治理，都被放進一套「記憶操作系統」里。

MemPrivacy 更像是 MemOS 往端云協同場景自然長出的隱私層 —— 當 Agent 開始長期記住用戶偏好、健康狀態、賬號憑證和工作上下文時，問題就不只是「能不能記住」，而是「能不能安全地記住」。這也讓記憶張量做 MemPrivacy 顯得順理成章：它不是從通用 PII 打碼出發，而是直接從 Agent 長期記憶的真實使用場景出發，重新定義隱私類型、保護級別和占位符機制。

發布當天，MemPrivacy 即上榜 Hugging Face Daily&Weekly Papers TOP1。

這不是一個簡單的「隱私打碼工具」。

它瞄準的是下一代個性化 Agent 最核心、也最棘手的問題：如何讓云端大模型繼續擁有長期記憶和個性化能力，同時又不讓用戶的敏感數據真正離開本地？

換句話說，MemPrivacy 想做的事情是：讓 Agent 可用，但不可見。

• 論文標題：MemPrivacy: Privacy-Preserving Personalized Memory Management for Edge-Cloud Agents
• 論文地址：https://arxiv.org/pdf/2605.09530
• 代碼倉庫：https://github.com/MemTensor/MemPrivacy
• 模型倉庫：https://huggingface.co/collections/IAAR-Shanghai/memprivacy

OpenAI 入局

但 8 個標簽撐不起 Agent 的長期記憶

OpenAI 的 privacy-filter 思路很簡單：掃描文本，識別隱私片段，然后替換成語義標簽。

比如，把用戶輸入中的人名「Maya」替換成 [PRIVATE_PERSON]。

這套模型擁有 1.5B 參數，其中激活參數約 50M，采用雙向 Token 分類架構，支持 128k 上下文，主打高吞吐量 PII 檢測與掩碼。

相比傳統一律替換成 *** 的打碼方式，這當然已經進了一步：它至少保留了一部分語義。

但放到端云 Agent 的長期記憶場景里，問題很快暴露出來了。

OpenAI privacy-filter 只提供 8 類基礎隱私標簽。對于普通表單脫敏，這也許夠用；但對于一個需要理解用戶、長期記憶用戶、甚至調用工具替用戶執行任務的 Agent 來說，這個粒度太粗了。

銀行卡號、社保編號、項目檔案號，可能都會被塞進同一個 [ACCOUNT_NUMBER]。登錄密碼、數據庫憑證、API Key、內部密鑰，也可能統統變成 [SECRET]。

這就像把所有危險物品都貼上「危險」兩個字。

安全是安全了一點，但語義也被抹平了。

真正的問題在于，Agent 不是數據庫清洗腳本。它需要理解上下文、保留關系、形成記憶，并在未來的對話中繼續使用這些信息。

當用戶說「我的血壓今天是 160/110」時，這不是普通數字，而是健康指標；當用戶說「這是我公司數據庫的連接串」時，這也不是普通文本，而是高危憑證。粗粒度標簽一旦識別不到，就會漏；一旦識別錯，就會毀掉語義。

于是，隱私過濾進入了一個兩難局面：

漏判，用戶隱私裸奔；誤判，Agent 當場失憶。

這正是下一代個性化 Agent 最難繞開的矛盾。

MemPrivacy 登場

不是抹掉隱私，而是給隱私換一張「本地身份證」

記憶張量 MemTensor 團隊提出的 MemPrivacy，核心思路叫做：本地可逆偽匿名化

它不是把隱私信息簡單刪除，也不是替換成無意義的星號，而是在端側完成一次更精細的「偷梁換柱」。

整個流程可以拆成三步。

端側上行脫敏

用戶在手機、PC 等邊緣設備上與 Agent 對話時，本地會先運行一個輕量級 MemPrivacy 模型。它負責識別對話中的隱私片段，并根據用戶設置的保護等級進行處理。

如果文本里出現「我的血壓今天是 160/110」，MemPrivacy 不會直接把它變成 ***，而是替換為類似

這樣的細粒度類型化占位符。

真實血壓值與占位符之間的映射關系，只保存在本地數據庫里。

云端安全處理

云端大模型看到的是：「我的血壓今天是

。」

它看不到 160/110 這個明文敏感數據，但依然知道這里是一個健康指標，因此可以繼續進行推理、生成建議、形成記憶，甚至調用相關工具。

第三步，端側下行恢復

當云端回復「您的血壓

偏高」時，本地系統再把占位符恢復成真實數值，最終呈現給用戶。

在用戶體驗上，這個過程幾乎是透明的。

但在系統架構上，關鍵敏感數據從未真正離開本地。

這就是 MemPrivacy 最重要的設計：讓云端看懂結構，但看不到明文

三種路線對比

無保護裸奔，全過濾失憶，MemPrivacy 保留智商

在端云 Agent 場景里，傳統隱私保護大致有兩種極端方案。

第一種是無保護。

用戶原始數據直接上云。云端模型當然可以完整理解上下文，個性化效果最好，但健康數據、私人郵箱、家庭住址、賬號憑證等敏感信息也會完整暴露。

在數據合規越來越嚴格的今天，這幾乎是在走鋼絲。

第二種是完全過濾。

所有隱私內容都被替換成 *** 或直接刪除。看起來很安全，但代價是 Agent 徹底失去關鍵語義。用戶想讓它記住健康狀況、財務約束、工作上下文，它卻只能看到一片空白。

這類 Agent 看似安全，實際上已經喪失了「長期個性化」的基礎。

MemPrivacy 選擇的是第三條路：細粒度類型化占位符

云端不知道你的真實血壓是多少，但知道這是一個健康指標；不知道你的私人郵箱是什么，但知道這里有一個郵箱；不知道你的 API Key 明文，但知道這里是一個高危憑證。

這種設計保住了兩個東西：一是隱私邊界，二是語義結構。

也正因如此，MemPrivacy 才有機會在隱私保護和 Agent 效用之間取得平衡。

硬核實力

F1 分數甩開 OpenAI 超 50 點，完爆 GPT-5.2

為了驗證 MemPrivacy 的能力，研究團隊構建了一個新的評測基準MemPrivacy-Bench。這個基準覆蓋 200 個用戶的對話歷史，包含超過 15.5 萬個隱私項，并支持中英雙語隱私信息檢測。

此外，為了測試泛化能力，團隊還在外部個性化長文本對話數據集PersonaMem-v2上進行了 OOD 交叉測試。

在這兩大基準的提取準確率（隱私文本、級別、類型的綜合 F1 分數）較量中，MemPrivacy 均展現出了碾壓級的優勢：

遠超 OpenAI 專項模型：

在 MemPrivacy-Bench 上，OpenAI privacy-filter 的綜合 F1 分數只有35.50%

而 MemPrivacy-4B-RL 達到了85.97%，兩者差距高達驚人的50.47%！即使是在跨分布的 PersonaMem-v2 數據集上，MemPrivacy 依然領先 OpenAI 近 9%。

原因也很清楚：OpenAI privacy-filter 的優勢在速度，非自回歸 Token 分類架構帶來了很高吞吐量；但它的問題在于標簽覆蓋窄、顆粒度粗，對復雜上下文和中文場景的適配不足。

MemPrivacy 則針對 Agent 長記憶場景重新定義了隱私類型、保護級別和訓練目標，因此在真實對話中更接近實際需求。

更有意思的是，MemPrivacy 不只是贏了 OpenAI 的專項小模型。

越級挑戰通用大模型：

即使面對參數量極其龐大的最強通用模型 GPT-5.2、Gemini-3.1-Pro 以及 DeepSeek-V3.2-Think，MemPrivacy-4B 乃至僅有 0.6B 的微型版本在兩個數據集上均實現了碾壓。

這說明，隱私提取不是簡單堆大參數就能解決的問題

它更像一個高度結構化、強約束、強邊界感的任務。真正重要的不是模型有多大，而是它是否理解「什么信息該被保護、該保護到什么程度、保護后還能不能繼續被 Agent 使用」。

不讓 Agent 變傻

系統效用損失最低不到 1%

隱私保護還有一個更現實的問題：保護得再好，如果 Agent 變傻了，也是白搭。

這也是很多粗暴脫敏方案的死穴。

用戶說：「我最近血壓偏高，幫我記住，以后安排運動計劃時注意一點。」

如果系統把血壓、健康狀態、運動偏好全部抹掉，云端模型當然安全了，但它也沒法再提供真正個性化的服務。

MemPrivacy 的類型化占位符真的能保留記憶系統的效用嗎？

團隊在業界幾個主流記憶系統平臺上進行了端到端測試。所有底座均采用統一的 GPT-4.1 模型。

實驗結果令人振奮：

• 當采用傳統的不可逆掩碼（Irreversible Masking）時，三大記憶系統的準確率分別暴跌了 26.67%、41.87% 和 16.99%，模型幾乎處于失憶的癱瘓狀態。
• 在 MemPrivacy 保護下（最高防御級別 PL4+PL3+PL2 全開），系統效用損失被死死控制在0.71% ~ 1.60%之間。如果用戶僅選擇保護最高風險的憑證級隱私（PL4），準確率下降甚至不到 0.89%

這意味著，MemPrivacy 真正做到了在不傷害智能體智商的前提下，把隱私泄漏風險降到了最低。

這正是 MemPrivacy 的關鍵價值：它不是在「安全」和「智能」之間二選一，而是試圖把兩者拆開 —— 明文不上云，但語義仍然可用。

四級隱私樹

終于把「什么是隱私」講清楚了

MemPrivacy 能做到這一點，背后一個重要原因是：它沒有把隱私當作一個簡單的二分類問題。

傳統隱私過濾常常是「要么脫敏，要么全明文」。但真實世界遠比這復雜。

MemPrivacy 引入了以可識別性、潛在危害性與可利用性為準繩的四級隱私分類法 (PL1-PL4)，從而支持用戶根據需求自由調控脫敏閾值：

PL4 致命核心級（最高警戒憑證與機密）

這一層包括明文密碼、驗證碼、Session、Cookie、API Key、內部商業機密等。一旦泄露，就可能導致賬戶接管、資金盜刷、系統越權或大規模數據泄露。

這類數據一旦檢測到，系統將實行 “絕對零容忍” 攔截，嚴禁進入云端上下文。

PL3 高危敏感級（引發生命財產風險的紅線數據）

包括身份證件號、詳細醫療診斷、生理指標、精準軌跡定位、生物特征、敏感消費記錄等。它們不一定直接等于賬號權限，但足以對人身安全、財產、健康和聲譽造成實質傷害。

PL2 身份錨定級（可溯源的標識信息）

包括真實姓名、詳細地址、手機號、私人郵箱、IP 地址、社交賬號等。單獨或組合起來，可以定位到具體自然人。尤其是「公司 + 職位 + 姓名」這類組合，在真實場景中也具備很強的可識別性。

PL1 基礎畫像級（安全可用的個性化基石）

包括作息習慣、興趣偏好、非診斷性情緒、表達風格等。這類信息是個性化 Agent 的基礎，一般不會帶來實質傷害，因此可以安全用于長期記憶。

這套分層設計的意義在于 —— 它讓隱私保護不再是一把錘子。

同樣是消費記錄，「在超市花了 86 塊錢」可能只是日常偏好；但某筆帶有明確醫療屬性的消費，則可能進入 PL3。

同樣是數字，有些只是普通計數，有些卻是血壓、身份證號、驗證碼或 API Key。

這就是細粒度隱私識別真正困難的地方：模型必須理解語義、上下文、風險和用途。

兩階段訓練

讓模型真正理解隱私邊界

在模型訓練上，MemPrivacy 采用了 Qwen3 系列作為基座，覆蓋 0.6B、1.7B、4B 多個規格。

訓練過程分為兩個階段。

第一階段是 SFT。

團隊使用 26K 高質量多輪對話數據進行監督微調，讓模型掌握基礎的隱私定位、類型識別和占位符替換能力。

第二階段是 GRPO 強化學習。

團隊引入基于結構化 Reward 的策略優化，用提取結果的 F1 分數直接反饋模型表現。

這一步的意義在于，隱私識別最難的往往不是顯而易見的手機號或郵箱，而是邊界模糊、依賴上下文的細粒度信息。

比如一句「我最近壓力很大」是否需要脫敏？

一句「我的血壓今天 160/110」又該被劃到什么級別？

某個字符串到底是普通 ID，還是內部憑證？

GRPO 讓模型在這些模糊邊界上進一步優化召回率與精確率的平衡，最終帶來了 MemPrivacy 在多個測試集上的明顯優勢。

結語

端云 Agent 的下一塊基礎設施

在萬物皆可 Agent 的未來，大模型比你更懂你自己是必然趨勢，但比你更懂你，不代表讓云端看光你。

OpenAI privacy-filter 的發布敲響了數據清洗和隱私合規的發令槍；而記憶張量與榮耀 AI 聯合發布的 MemPrivacy，則為下一代云邊協同架構（Edge-Cloud Agents）提供了一套直接可用、高精度、低損耗的標桿級工程解法。無論是對于開發個人 AI 助理的 AI Builders，還是對于需要滿足嚴苛數據合規（如 GDPR）的企業級出海應用，MemPrivacy 都展現出了不可估量的商業與技術價值。

在這件事上，榮耀并不是一個偶然出現的合作方。從 MagicOS 到 YOYO，榮耀一直在嘗試把更多 AI 能力真正放進設備本身。這也是為什么 MemPrivacy 的方案會和榮耀的端側 AI 路線天然契合。

MemPrivacy 在榮耀終端設備上的落地，則是這次合作的進一步延伸：0.6B 到 4B 的多檔模型本身就是為端側部署設計的。當越來越多人開始習慣通過 YOYO 這樣的 Agent 完成健康、出行、工作甚至財務相關的任務時，用戶真正需要的，其實是一個 “既懂你、又不會看光你” 的 AI。

對端云 Agent 來說，“可記憶” 之后，“可安全記憶” 正在成為下一階段真正的基礎設施問題。

目前，MemPrivacy 的模型權重與評測基準已全部開源。隱私與長期記憶之間那道過去幾乎無法兼得的墻，也第一次開始出現了被打通的可能。

• 論文地址：https://arxiv.org/pdf/2605.09530
• 代碼倉庫：https://github.com/MemTensor/MemPrivacy
• 模型倉庫：https://huggingface.co/collections/IAAR-Shanghai/memprivacy