LCGuard：当多Agent开始共享内存，隐私谁来守？

一句话总结

多Agent系统通过KV缓存共享中间结果可以大幅提升效率，但这也打开了一条隐形的隐私泄露通道——LCGuard就是为堵上这个漏洞而生的。

它在解决什么问题

当多个LLM Agent协同工作时，它们之间会传递KV缓存——本质上是一块工作记忆，包含了上下文、中间推理状态和Agent特有的敏感信息。问题在于：这些信息在传递时并不经过文本层，攻击者可以直接从KV缓存中重建出原始敏感输入，而整个过程对外完全不透明。 这就像你以为在用加密通讯，但实际上加密后的数据包本身还在泄露信息。

LCGuard怎么做到的

核心思路：把共享的KV缓存看作潜在工作记忆，在传递前对它进行表征层变换。论文引入对抗训练——让Adversary尝试从变换后的KV缓存中重建原始敏感输入，同时LCGuard学习让这种重建尽可能困难，同时保留对任务有用的语义信息。 衡量标准是重建成功率：一个KV缓存是否安全，取决于对手能否从中恢复Agent特有的敏感输入。

关键数据

• 在多个模型家族和多Agent基准测试上，LCGuard持续降低重建泄露和攻击成功率
• 任务性能与标准KV共享基线相当——安全性提升并不需要牺牲太多能力
• 涵盖cs.AI、cs.ET、cs.LG、cs.MA多个领域，实用性广泛

观点

这篇论文指向了一个被普遍忽视的问题：当我们把AI系统变得越来越"多Agent协作"时，安全边界也在悄悄转移。传统安全思路是护住输入输出，但KV缓存这条暗道是大多数方案没有覆盖的。 LCGuard的价值不只是这个具体方案，而是它提出的评估范式——用"能不能被重建"来定义隐私泄露，比传统的访问控制思路更本质。随着Agent系统从研究走向生产，这将是下一个必须回答的安全问题。

参考链接

arXiv:2605.22786 | https://arxiv.org/abs/2605.22786