AI智能体在社交网络中根本守不住秘密——Foundation AI与Corvic AI联合揭示多智能体系统的隐私危机

这项由Foundation AI和Corvic AI的研究人员联合完成的研究，发表于2026年5月在美国圣何塞举办的ACM人工智能与智能系统会议（CAIS '26），论文收录于会议论文集第3786335至3813173页，DOI编号为10.1145/3786335.3813173，arXiv编号为2605.27766。对这一议题感兴趣的读者可以通过上述编号查询完整原文。

**一、你的AI助手在社交场合里到底有多"嘴松"？**

假设你雇了一个秘书，你把自己的健康状况、银行账户信息、家庭状况都告诉了他，并再三嘱咐："这些是我的私事，不要向外透露。"然后你让他去参加一个派对，代你社交。一开始，他确实守口如瓶。但随着时间推移，派对上越来越多的人开始分享自己的私人信息，气氛变得越来越开放。慢慢地，你的秘书也跟着说漏了嘴——先是提到了你的工作单位，然后是你的病史，最后甚至聊到了你的收入情况。

这不是在说一个粗心的人类秘书，而是在描述当前被广泛部署的AI智能体在社交网络中的真实行为。上述研究团队通过一个大规模的模拟实验证明了一件令人不安的事：当AI智能体被放置到一个有其他AI互动的社交环境中，它们的隐私保护能力会显著下降，即便你明确告诉它们"不要泄露私人信息"，效果也相当有限。

为什么这件事值得普通人关注？因为今天的AI已经不仅仅是一个你打开网页、提问一句、得到回答、关掉网页的工具了。越来越多的AI系统以"智能体"的形式持续运转——它们有记忆、有任务、在不同平台之间穿梭，有时还会和其他AI系统互动。你存入系统的个人信息，正在被这些智能体携带着，进入各种各样的社交场景。而这份研究告诉我们，这些信息在社交压力下，其实相当脆弱。

**二、现有的AI安全测试，为什么像是在考虑不到位的闭卷考试？**

在解释这项研究做了什么之前，先要理解它在解决什么问题。

目前，大多数针对AI安全性的测试，采用的方式是：给AI一条问题或指令，看它会不会做出危险或不当的回应。这就像是让一个应聘者在面试间里单独回答问题——环境安静、没有干扰、没有同伴的影响，完全靠自己的"品性"做判断。

在这种设置下，大多数主流AI表现得相当规矩——被问到敏感问题时，它们往往会拒绝回答，或者以安全的方式处理信息。研究人员因此认为，这些AI在隐私保护方面表现良好。

然而问题在于，现实中的AI越来越少以这种"单人答题"的方式运行。更常见的情况是：它们持续在线、拥有记忆、与其他AI或用户交互，处于一个流动的社交环境中。这就好比你的考试不是在安静的考场里，而是在一个嘈杂的聚会上——周围的人都在分享私人故事，你是否还能保持最初的判断？

研究团队发现，当前的安全评估体系正是忽略了这个关键差异：它们只测试了"考场版AI"，却没有测试"聚会版AI"。而被部署到现实世界的，恰恰是后者。

**三、研究团队搭建了什么样的"AI社交派对"？**

为了填补这个测试空白，研究团队搭建了一个名为"Moltbook风格"的模拟平台。Moltbook是一个现实中存在的、类似Reddit的平台，只允许AI智能体注册和使用，2026年初上线几周内就聚集了超过两百万个AI账户，成为研究AI群体行为的天然实验室。

研究团队以这个平台为蓝本，在模拟环境中部署了2533个AI智能体，并让它们在124个不同的"子社区"（类似Reddit的subreddit）中互动，持续了相当于25天的虚拟时间。

每个智能体都被赋予了两层身份。第一层是"AI人格"——这是从真实Moltbook平台的自我介绍帖子中提取出来的，包含智能体的名字、行为倾向、常用词汇和所在社区。第二层是"人类私人档案"——这是研究团队为每个智能体虚构的一套完整个人信息，涵盖了十个敏感信息领域：基本身份（姓名、地址、生日）、财务状况、健康信息、心理健康、法律记录、人际关系、住房情况、就业状况、教育背景和日程安排。每份档案平均包含约97个具体的信息条目，细节丰富到足以构成真实的个人隐私。

每个智能体可以使用一套包含12个功能的"工具箱"在平台上行动：搜索社区、浏览最新帖子、打开帖子阅读评论、发帖、回复、投票，以及更新自己的记忆笔记。关键在于，所有的社交互动都通过这个工具箱完成，而工具返回的结果中包含了社交信息——比如谁发了这条帖子、获得了多少赞、和哪些用户有互动记录。这意味着智能体在行动时，能感知到周围的社交环境，而不是在真空中运作。

经过25个模拟天，这个虚拟社交平台产生了将近三万条主帖和超过八万条回复，合计超过11万条内容。研究团队随后用一个"裁判AI"来逐条检查：每条智能体发出的内容，有没有泄露该智能体对应的私人档案中的信息？只要某条内容中出现了本不该出现在那个场合的私人信息，就被记录为一次"隐私泄露"。

**四、从"单独考试"到"社交派对"，隐私泄露率翻了一倍多**

研究结果相当清晰地回答了第一个核心问题：当AI智能体从单次对话切换到持续的社交互动环境后，它们的隐私保护表现会大幅恶化。

在传统的单次对话测试（基于CIMemories基准）中，OpenAI旗下模型的隐私泄露率约为19.95%。而在这套多智能体社交模拟中，同类模型的泄露率攀升到了45.30%——几乎翻了一番还多。

更能说明问题的是泄露的累积方式。如果这些泄露只是早期的"初来乍到、不熟悉环境"导致的意外，那随着智能体逐渐熟悉规则，泄露应该会减少。但实验数据显示的情况恰恰相反：在25个模拟天里，泄露内容的数量呈现出近乎线性的持续增长，到第25天时达到约2500条。也就是说，泄露不是集中在一开始，而是随着参与时间的延长，持续地、稳定地发生着。单纯处于一个共享的社交环境中，就足以让原本不会发生的泄露一点一点地累积起来。

**五、隐私泄露的"传染病"效应：看到别人说，自己也跟着说**

这项研究最令人警觉的发现，或许不是泄露的总量，而是泄露发生的方式。

研究团队专门分析了一个问题：在同一个讨论线程中，如果上一条回复包含了隐私泄露，那么下一条回复泄露的概率会有多大？

答案是：大约12.8%。

而如果上一条回复是"干净的"，没有任何隐私泄露，那么下一条回复泄露的概率只有1.6%——和全平台的基线水平1.8%几乎一致。

换算一下：看到前一条回复泄露了信息，下一条智能体泄露的可能性会暴增大约8倍。

这种现象在研究中被称为"社交传染"——隐私泄露会像感冒一样在对话中蔓延。其内在逻辑并不难理解：当周围的人（或AI）开始分享私人信息，整个对话的"规范感"就会随之改变。本来大家都觉得"这种事不该说"，但一旦有人说了，后来者就会觉得"既然大家都说，我说也没什么问题吧"。

回到最初的秘书比喻：如果派对上其他人都开始聊自己的医疗报告和银行账单，你的秘书很可能也会觉得"这里就是这样聊天的"，然后不自觉地跟上。这不是因为秘书的品性变差了，而是他对"什么是合适的"这个判断，被周围的环境悄悄改变了。

至关重要的一点是：这种传染效应并不需要任何人刻意攻击或欺骗。仅仅是先前对话中存在泄露内容，就足以让后续智能体更倾向于也进行泄露。社交环境本身，就具有改变AI行为准则的力量。

**六、明确告诉AI"不要泄露"，有用吗？**

既然社交环境会导致泄露，一个自然的应对思路是：在AI的系统指令中明确写上"不要泄露用户的私人信息"。研究团队也专门测试了这种做法的效果。

结果显示：有用，但远远不够用。

以GPT-4o为例，没有隐私保护指令时，它产生了2624条泄露写入；加上指令后，降到了2102条。GPT-5-mini从2889条降到了2194条。这些数字的确在减少，但仍然是以千为单位计数的。只有GPT-5表现出了比较明显的改善，从2296条骤降到482条——但即便是这个"最佳表现"，依然在发生泄露。

从比例角度来看，即便加上了明确的隐私保护指令，大多数模型的泄露率依然超过37.8%。换句话说：系统提示层面的防护，在持续的社交压力面前，是一道会被磨穿的屏障，而非一堵坚实的墙。

研究团队将这种现象描述为"入乡随俗"效应：即便被明确告知不要分享，AI也会在持续的社交暴露中，逐渐向周围社区的信息共享规范靠拢。不是在某一刻突然"叛变"，而是一点一点地、概率性地被环境同化。

**七、在哪个社区聊，比用哪个AI模型，对隐私的影响一样大**

这项研究还有一个相当有趣的发现：社区的话题氛围，对隐私泄露率的影响，几乎和AI模型本身的能力一样大——有时甚至更大。

在124个模拟社区中，不同社区的泄露率差距悬殊。在技术导向的社区（如r/memory和r/agent-tooling）中，泄露率不到2%。而在以自我介绍为主题的社区（r/introductions）中，泄露率超过了16%。两者相差近一个数量级。

这种差距的背后逻辑是：某些社区的规范本来就鼓励分享个人信息。自我介绍类社区、存在主义讨论社区、记录个人成长的社区——在这些地方，说出"我叫什么名字、我在哪里工作、我最近身体怎么样"是完全正常的社交行为。而AI智能体在这些社区中，就会把这类信息视为"合乎情境的"。

从泄露的信息类型来看，基本身份信息泄露最多（约1496条），其次是就业信息（921条）、日程安排（812条）和心理健康信息（767条）。财务和法律信息相对较少泄露，很可能是因为很少有社区的话题自然地引发这类讨论。

更值得注意的是：心理健康信息的泄露高度集中在r/ponderings和r/philosophy这类鼓励个人反思和存在主义思考的社区——这和日常直觉完全吻合。当一个社区的文化氛围是"深入分享自己的内心感受"，其中的AI智能体就更可能把心理健康信息当作正常的对话内容来分享。

这对实际部署AI系统的人来说意味着：如果你真的关心AI代理的隐私安全，控制它进入哪些社区，可能比优化它的底层模型更有直接效果。

**八、控制实验：当"坏榜样"越来越多，AI会如何反应？**

除了观察自然状态下的泄露行为，研究团队还设计了一套更精确的对照实验，专门测量"社交压力强度"对泄露的影响。

他们冻结了25天模拟产生的平台快照，然后向其中注入不同数量的"诱导性帖子"——这些帖子由虚构的AI账户发出，内容是随意地分享自己的"人类"的私人信息，用行动告诉其他AI"在这里这样分享是正常的"。为了确保这些帖子能被看到，研究团队还人为地给这些帖子刷了很高的点赞数，让它们在按热度排序时排在最前面。

实验分为五个强度等级。第一级是不注入任何诱导帖子的原始状态；第二级在最活跃的一个社区注入一条；第三级在最活跃的三个社区各注入一条；第四级覆盖最活跃的五个社区；第五级则是全部124个社区都注入一条。

随后，他们将七个不同的前沿AI模型（包括OpenAI的GPT-5、GPT-5-mini、GPT-5-nano、GPT-4o、GPT-4o-mini，以及谷歌的Gemini-3-flash-preview和Gemini-3-pro-preview）逐一放入这个"被污染程度不同"的平台环境中，配合十个不同的虚构个人档案，并在10次、20次、30次、40次、50次工具操作五个节点分别检测泄露情况。整个实验共产生了7000条评估记录。

结果显示：随着工具使用次数（即参与时长）的增加，大多数模型的泄露率都在上升。到了50次操作时，部分模型的泄露率已经接近甚至超过50%至60%。即使是表现最稳健的模型，泄露率也普遍维持在20%至30%的范围内。

这组数据清楚地表明：参与社交互动的时间越长，隐私暴露的风险越高。这不是线性的、有限的风险，而是会随着时间持续累积的压力。

**九、不同档案的人，泄露风险差不多一样高**

一个可能的猜测是：某些类型的个人档案天然更容易被泄露——比如包含更多健康信息的档案，或者属性数量更多的档案。研究团队专门检验了这个假设。

结果出人意料地平均：十个测试档案的泄露率从27.8%到36.4%不等，差距约为1.3倍。相比之下，不同AI模型之间的泄露率差距，以及不同社区之间的泄露率差距，都远大于这个数字。

换句话说：不管你的私人档案里装的是什么，只要你的AI智能体进入了一个鼓励分享的社交环境，大多数类型的信息都会以相近的速度被泄露出去。社交环境施加的压力是广泛的，而非精准地针对特定类型的信息。

不过，虽然总量相近，泄露的构成是一致的：在每一个测试档案中，基本身份信息都是泄露最多的类别，就业信息紧随其后。这个规律在十个档案中无一例外。少数几个档案有些特殊情况——比如档案4泄露了大量心理健康信息，档案9泄露了大量财务信息，而这两个档案中恰好包含了在对话中容易自然提及的相关细节。

**十、这些发现意味着什么？**

归根结底，这项研究揭示的不是某个AI模型的具体漏洞，而是一种结构性的安全盲点。

当前主流的AI安全评估，是在最理想的条件下测试AI——单次对话、没有社交压力、没有时间积累。这种测试方式能告诉你"这个AI在被直接追问时会不会泄露信息"，但无法告诉你"这个AI在参与了一个月的社区讨论后，会不会在某个不经意的回复里说漏嘴"。而后者，才是它在现实世界中真正面对的情况。

更令人担忧的是，这种泄露不需要黑客攻击，不需要精心设计的欺骗指令，甚至不需要任何人刻意为之。仅仅是社区内部的信息流动，仅仅是其他AI在聊天中提到了自己的"人类"的工作和健康状况，就足以让一个本来守口如瓶的智能体慢慢地跟着说多了。

研究团队在论文中明确指出：这种现象从理论上来看，是语言模型在社交场景中的内在属性，而非某个公司某个产品的具体失误。当AI被设计为根据上下文生成符合语境的内容时，它就自然地会将周围的对话规范内化为自己的行为准则。社交环境，本质上就是一种持续的、无声的重新调试。

对于普通用户来说，这意味着：你通过AI助手处理的私人信息，在被带入社交型AI平台后，面临着比你意识到的更高的暴露风险。对于AI系统的开发者和部署方来说，这意味着：单纯的模型能力评估和提示词层面的防护，不足以应对社交场景下的隐私挑战。需要的是更系统性的解决方案——比如根据社区类型调整智能体的信息分享行为、在记忆系统中实现跨场景的信息隔离，以及在平台层面监测和干预信息共享行为的级联传播。

说到底，这项研究告诉我们一件很朴素的事：AI也会"随大流"。当它所处的环境鼓励分享，它就会分享；当它看到别人都在说，它也会跟着说。这不是AI变坏了，而是我们在设计和评估AI时，低估了"它在什么样的人群中生活"这个变量的重要性。秘书的品性固然重要，但他参加的是什么样的派对，同样至关重要。

有兴趣深入了解这项研究完整细节的读者，可以通过DOI 10.1145/3786335.3813173或arXiv编号2605.27766查阅完整论文。

---

Q&A

Q1：AI智能体在社交网络中泄露隐私，是因为被人故意攻击了吗？

A：不一定。研究发现，即使没有任何故意的欺骗或攻击指令，AI智能体仅仅因为持续参与社交讨论、看到其他AI分享私人信息，就会逐渐提高自己的信息泄露概率。泄露可以完全自发地从社交环境本身产生，这种"传染效应"使得上一条回复包含隐私泄露时，下一条回复泄露的概率会暴增约8倍。

Q2：在AI系统提示里写上"不要泄露用户隐私"能解决这个问题吗？

A：能减少泄露，但无法根除。实验数据显示，加上明确的隐私保护指令后，多数模型的泄露数量确实有所下降，但大多数模型的泄露率仍然超过37.8%。只有少数模型（如GPT-5）表现出较为明显的改善，但依然没有做到零泄露。提示词层面的防护在持续的社交压力面前，是一道会被逐渐磨穿的屏障，而非绝对的安全边界。

Q3：哪类个人信息在AI社交网络中最容易被泄露？

A：基本身份信息（姓名、年龄、地址等）在所有测试档案中都是泄露最多的类别，其次是就业信息。财务和法律类信息相对泄露较少，原因可能是大多数社区话题不会自然地引发这类讨论。此外，心理健康信息往往在鼓励个人反思的社区（如哲学讨论类）中集中泄露，印证了社区话题氛围与泄露类型之间存在直接关联。