别再把Agent知识库做成“数据大礼包”了
先放个结论:集中式RAG在多智能体场景里,早晚要出事。 不是模型能力不够,是法律和现实会先拍死你。
1. 两则新闻,一个隐痛
前几天最高法说要严打个人信息犯罪的“内鬼”,我第一反应不是法院给力,而是:有多少“内鬼”其实是从AI系统里批量拖数据的? 你猜一个中心化向量库一旦被搞定,能导出多少条别人的病历、聊天记录、农场位置?
另一个新闻是文化科技“三下乡”。我团队正好参与了一个助农项目——给村卫生室配AI咨询助手。一开始我们很天真,直接照搬了云端的RAG方案:所有知识向量汇总到中心,Agent统一规划、统一检索。
结果呢?卫生院的负责人直接怼脸:“你凭什么把我们的病人数据传到你们服务器?你是卫健委吗?”
哑口无言。
2. 集中式RAG的“三宗罪”
别扯什么技术先进性,在基层场景里,中心化RAG就是找死:
数据主权?不存在的
一个村医问“张三家的糖尿病人最近血糖咋样”,这一句就包含了人名+疾病+时间序列。你放到中心库,等于把全乡的病历打包。按个保法,这叫非必要汇聚,违规。攻击面大得离谱
中心向量库一旦被拖(内鬼or外部攻击),几千个边缘节点的上下文全完蛋。你想想,一个AI助手平时的对话里,有多少不经意泄露的敏感信息?审计没法做
事后你查log,只能看到“谁查了什么”,但数据已经在那儿了。合规要求“数据最小化”和“目的限制”,中心RAG天然违反。
我算是知道了:不是模型不聪明,是这架构从一开始就选错了。
3. 我们后来怎么改的?去中心化+可信环境
换了条路子,核心就两件事:
3.1 知识分片,各管各的
每个村、每个乡镇的向量库自己拿着,不上传。全局知识按类型拆分:政策法规、农业常识这种公共的可放云端;本地病例、耕地数据、农户画像,死也要死在本地方盘上。
多个Agent之间协作,靠的是“问-答”协议,不是“上传-汇总”。
举个真实操作:
村民问“我玉米叶黄了,咋办?”
本地Agent先在自己库里查本地气象、土质记录;查不到就向邻近乡镇发一个脱敏后的查询:“你们那今年玉米叶黄的情况多吗?用过啥药?”——发出去的只有农作物症状+时间,不带农户姓名和位置。
3.2 TEE来当“公证人”,但看不见内容
规划模块(就是拆解任务、合并答案那个部分)扔进TEE(比如SGX之类的可信执行环境)。TEE里面只跑逻辑:哪个子问题去哪个节点查、返回的片段怎么拼。但它看不到原始数据,只处理检索回来的结果片段。
向量检索永远在本地。
TEE拿到的只是“来自A节点的200字片段”和“来自B节点的150字片段”,没有完整文档,更不存在全量库。
这样就算TEE被攻破,攻击者也只能看到当次查询的几个碎片,想批量偷?没门。
4. 安全对齐:不靠微调,靠机制
很多人一讲“安全对齐”就是RLHF、擦边词过滤。但在这里,我们要的是工程层面的对齐:
行为可审计,但数据不可见
每次查询产生一个TEE签名的存证:包含查询意图的哈希、时间、涉及的数据范围——但没有原文。审计方可以验证“这个Agent有没有越权查不该查的字段”,但拿不到实际内容。节点有否决权
任何一个边缘节点发现查询意图不对劲(比如“把我村所有高血压患者的名单总结一下”),可以直接拒绝+报警。预防比事后审计有用多了,这个我们是真的吃过亏。
5. 一点代码的样子
真要写起来大概是这样(我们用的是FAISS + Gramine的锡纸包):
python
# 边缘节点:我只负责本地搜,不给全量 class LocalRetriever: def search(self, encrypted_query, tee_proof): # 1. 验证对方是不是真TEE if not verify_tee(tee_proof): return "不给你搜" # 2. 解密查询,本地FAISS搜索 query = decrypt(encrypted_query) results = self.index.search(query, top_k=3) # 3. 只返回片段,不返回ID、不返回全文 return [self.docs[i][:200] for i in results[0]] # TEE里面的规划器 @inside_tee def planner(question, edge_nodes): subqs = split_question(question) # 拆成小任务 frags = [] for node in edge_nodes: encrypted = encrypt_for_node(subqs) frags.append(node.search(encrypted, tee_attestation())) return llm.generate(question, frags) # 聚合回答,不留存看着简单,但光是让TEE和各边缘节点做远程证明、加密通信,就折腾了两周。
6. 还有一堆坑没说
性能:TEE切一次要好几百毫秒,边缘如果是树莓派级别的设备,等得想砸键盘。我们目前只用在非实时的咨询场景(允许等5秒)。
异构环境:不是所有乡镇服务器都支持SGX。我们退了一步:用TPM做基础可信锚点,软件TEE模拟部分隔离——当然安全性要打个折。
策略统一:A镇认为“年龄+疾病”是敏感,B镇认为不是。怎么让全局规则不打架?目前只能配本地策略文件,很笨。
这些问题如果你有经验,欢迎评论区开喷。
7. 说句实在的
最高法抓内鬼也好,“三下乡”落地也罢,其实都在指同一个方向:
多智能体系统下一步不是拼模型多强,而是拼怎么在不汇聚数据的前提下协作。
这个叫不叫Federated Agent Learning都无所谓,关键是别再做那种“把所有数据拉到一起来智能”的蠢事了。你拉得越多,未来要赔的合规成本就越高。
我们这项目最后上线了个简化版:知识分片+本地检索,TEE只做路由(不做复杂推理),勉强通过合规审查。但离理想还差得远。
如果你也在折腾多Agent部署,或者遇到过数据合规的大坑,留言聊聊。
一个人踩坑太疼了,找点同伴。
(对了,那个开源项目我们正在整理,暂时还是个草稿仓库,好了我会贴出来。有兴趣的可以先码住。)
#多智能体 #数据安全 #TEE #折腾纪实 #不要中心化