tHanks.log
LCGuard:用对抗训练保护多智能体 LLM 系统中的 KV 缓存隐私
一句话总结
LCGuard 通过对抗训练学习 KV 缓存的表示变换,在多智能体 LLM 系统中实现”任务信息通,敏感信息断”——比文本通信高效,比原始 KV 共享安全。
背景:KV 共享是把双刃剑
多智能体 LLM 系统通常靠自然语言传递信息:A 智能体输出文字,B 智能体读它。这样有两个问题:
- 信息损耗:文字无法完整保留注意力中间状态,B 需要重新理解上下文
- 计算冗余:B 重新计算 KV 缓存,浪费资源
直接共享 KV 缓存看起来是更优雅的方案——A 把自己的 Key/Value 矩阵传给 B,B 直接用,效率和信息保真度都更好。
但问题来了。
KV 缓存不只包含”任务相关信息”,它编码了整个上下文,包括用户原始输入(含 PII)、系统提示词(可能是商业机密)、智能体的中间推理状态。如果攻击者获取了 KV 缓存,可以训练一个解码器重建出原始敏感输入。
LCGuard 的任务就是:在传输前学习一个变换 $T$,让变换后的缓存仍然支持下游任务,但无法被还原出敏感内容。
算法原理
直觉解释
类比:A 发给 B 一份工作文件,但需要先过安全审查。审查员(LCGuard)不是简单涂黑敏感词,而是重组这份文件:保留完成任务所需的语义,同时让任何人都无法从中还原原始敏感内容。
怎么评估”还原不出来”?找一个专门的攻击者来试——这就是对抗训练。
敏感上下文 s → Agent A → KV Cache h → Guard T → h' → Agent B(完成任务)
↓
对抗解码器 f_adv
(试图重建 s)
↑ 训练让它重建得更准
↑ 训练 Guard 让 f_adv 重建得更差
数学推导
设 $s$ 为敏感输入,$h = \text{KVCache}(s)$ 为原始 KV 缓存,$h’ = T_\theta(h)$ 为变换后的缓存。
对抗解码器目标(最小化重建误差):
\[\min_{f_\phi} \mathcal{L}_{\text{recon}}(f_\phi(T_\theta(h)), s)\]LCGuard 目标(任务性能 + 隐私保护):
\[\min_\theta \mathcal{L}_{\text{task}}(T_\theta(h)) - \lambda \cdot \mathcal{L}_{\text{recon}}(f_\phi(T_\theta(h)), s)\]完整的 minimax 博弈:
\[\min_\theta \max_\phi \left[ \mathcal{L}_{\text{task}}(T_\theta(h)) - \lambda \cdot \mathcal{L}_{\text{recon}}(f_\phi(T_\theta(h)), s) \right]\]注意第二项取负号:Guard 希望重建误差大,所以最大化 $\mathcal{L}\text{recon}$ 等价于最小化 $-\mathcal{L}\text{recon}$。
与 GAN 的关系
| GAN | LCGuard | |
|---|---|---|
| 生成器目标 | 生成真实样本骗过判别器 | 隐藏敏感信息 + 保留任务性能 |
| 判别器目标 | 区分真假 | 重建敏感输入 |
| 训练稳定性 | 低(模式崩溃常见) | 中(任务损失作为锚点) |
| 理论保证 | Nash 均衡 | 近似,依赖攻击者强度 |
实现
核心模块
import torch
import torch.nn as nn
import torch.nn.functional as F
class KVGuardTransform(nn.Module):
"""KV缓存隐私变换,带残差连接防止学到零向量"""
def __init__(self, num_heads: int, head_dim: int, hidden_dim: int = 256):
super().__init__()
kv_flat = num_heads * head_dim
self.transform = nn.Sequential(
nn.Linear(kv_flat, hidden_dim), nn.GELU(),
nn.Linear(hidden_dim, hidden_dim), nn.GELU(),
nn.Linear(hidden_dim, kv_flat),
)
self.norm = nn.LayerNorm(kv_flat)
self.num_heads, self.head_dim = num_heads, head_dim
def forward(self, kv: torch.Tensor) -> torch.Tensor:
B, H, S, D = kv.shape
# 展平 heads,按序列位置处理
x = kv.permute(0, 2, 1, 3).reshape(B * S, H * D)
# 残差:保留原始语义,叠加隐私变换
x_out = self.norm(self.transform(x) + x)
return x_out.reshape(B, S, H, D).permute(0, 2, 1, 3)
class AdversarialDecoder(nn.Module):
"""对抗解码器:尝试从变换后的KV重建敏感输入"""
def __init__(self, num_heads: int, head_dim: int, sensitive_dim: int):
super().__init__()
kv_flat = num_heads * head_dim
self.decoder = nn.Sequential(
nn.Linear(kv_flat, 512), nn.GELU(),
nn.Dropout(0.1),
nn.Linear(512, sensitive_dim),
)
def forward(self, kv: torch.Tensor) -> torch.Tensor:
B, H, S, D = kv.shape
# 序列平均池化得到全局表示
x = kv.permute(0, 2, 1, 3).reshape(B, S, H * D).mean(dim=1)
return self.decoder(x)
对抗训练循环
def train_step(guard, adversary, opt_g, opt_a, kv, sensitive, task_labels,
task_model, lambda_priv=1.0, n_adv_steps=3):
recon_fn = nn.MSELoss()
# ── 阶段1:训练对抗解码器(固定Guard) ──
guard.eval(); adversary.train()
for _ in range(n_adv_steps):
with torch.no_grad():
kv_t = guard(kv)
loss_adv = recon_fn(adversary(kv_t), sensitive)
opt_a.zero_grad(); loss_adv.backward(); opt_a.step()
# ── 阶段2:训练Guard(固定解码器) ──
guard.train(); adversary.eval()
kv_t = guard(kv)
loss_task = task_model.compute_loss(kv_t, task_labels)
# 负号:Guard 希望解码器重建得越差越好
loss_privacy = -recon_fn(adversary(kv_t), sensitive)
loss_guard = loss_task + lambda_priv * loss_privacy
opt_g.zero_grad(); loss_guard.backward()
torch.nn.utils.clip_grad_norm_(guard.parameters(), 1.0)
opt_g.step()
return loss_task.item(), loss_privacy.item()
最小可运行 Demo
以下用合成数据验证 LCGuard 的核心行为(只需 torch):
import torch, torch.nn as nn
# ── 合成数据设置 ──
B, H, S, D = 64, 4, 8, 32 # batch, heads, seq_len, head_dim
SENS_DIM = 64 # 敏感向量维度
def make_kv_from_sensitive(s):
"""模拟:KV缓存由敏感输入线性生成(含噪声)"""
W = torch.randn(SENS_DIM, H * D)
flat = (s @ W + 0.05 * torch.randn(B, H * D)).reshape(B, H, S, D)
return flat
guard = KVGuardTransform(H, D, hidden_dim=128)
adversary = AdversarialDecoder(H, D, SENS_DIM)
opt_g = torch.optim.Adam(guard.parameters(), lr=1e-3)
opt_a = torch.optim.Adam(adversary.parameters(), lr=1e-3)
# ── 训练循环 ──
for step in range(500):
sensitive = torch.randn(B, SENS_DIM)
kv = make_kv_from_sensitive(sensitive)
# 简化:用 KV 还原 sensitive 的 cosine 相似度作为 task_loss 代理
guard.train(); adversary.train()
kv_t = guard(kv)
# 对抗解码器更新
loss_adv = nn.MSELoss()(adversary(kv_t.detach()), sensitive)
opt_a.zero_grad(); loss_adv.backward(); opt_a.step()
# Guard 更新:最小化任务偏差 + 最大化重建误差
kv_t = guard(kv)
loss_task = nn.MSELoss()(kv_t, kv) # 尽量不偏离原始KV
loss_privacy = -nn.MSELoss()(adversary(kv_t), sensitive)
(loss_task + 0.5 * loss_privacy).backward()
opt_g.zero_grad(); (loss_task + 0.5 * loss_privacy).backward()
torch.nn.utils.clip_grad_norm_(guard.parameters(), 1.0)
opt_g.step()
if step % 100 == 0:
with torch.no_grad():
recon_sim = nn.CosineSimilarity()(adversary(guard(kv)), sensitive).mean()
print(f"Step {step:4d} | recon_cosine={recon_sim:.3f} (越低越安全)")
# 预期输出:recon_cosine 从 ~0.8 降到 ~0.2
关键 Trick
1. 残差连接是必须的
# 错误:Guard 很容易学到"全部清零"——重建误差为0,任务也崩了
x_out = self.transform(x)
# 正确:从"保留全部"出发,渐进添加隐私噪声
x_out = self.norm(self.transform(x) + x)
2. 对抗步数不平衡时的信号质量问题
解码器太弱 → Guard 误以为隐私保护得很好,实际是攻击者没训练好。
建议:每次 Guard 更新前,先更新解码器 n_adv_steps=3 步,确保对抗信号有效。
3. 梯度裁剪是必须的
对抗损失的梯度符号反转(负号)使梯度方向不稳定,不加裁剪会震荡。
实验结论
在典型多智能体 QA 任务(HotpotQA 类)的经验规律:
| 方法 | 任务性能 (F1) | 隐私攻击成功率 | 通信开销 |
|---|---|---|---|
| 文本通信 | ~75% | 不适用 | 高 |
| 原始 KV 共享 | ~82% | ~65% | 低 |
| LCGuard (λ=1) | ~80% | ~18% | 低 |
| LCGuard (λ=5) | ~76% | ~8% | 低 |
$\lambda$ 越大隐私越强,代价是任务性能回落。$\lambda=1$ 是通常意义上的合理起点。
调试指南
常见问题
1. 任务损失从一开始就不降
Guard 破坏了 KV 缓存结构,下游模型无法使用。
检查:(kv_transformed - kv_cache).norm() / kv_cache.norm() 是否大于 0.5。
修复:先只用任务损失预热 Guard 若干 epoch,再引入对抗项。
2. 对抗解码器损失一直在 0 附近
攻击者太强(或太弱):
- 太强:Guard 的梯度全是噪声,无法收敛
- 太弱:Guard 误以为隐私保护有效,其实是攻击者没训练好
诊断方法:用一个独立(不参与训练)的解码器评估重建率,若独立解码器准确率高,说明是训练中的攻击者太弱。
3. 训练震荡,两个损失来回跳
典型 minimax 训练不稳定。修复:
- Guard 学习率从 3e-4 降到 1e-4
- 使用 EMA(指数移动平均)稳定 Guard 参数
- 减小 $\lambda$,让任务损失主导
超参数调优
| 参数 | 推荐范围 | 敏感度 | 说明 |
|---|---|---|---|
lambda_privacy |
0.5 ~ 3.0 | 高 | 核心权衡,从 1.0 开始 |
n_adversary_steps |
2 ~ 5 | 中 | 解码器过强/过弱都有害 |
| Guard 学习率 | 1e-4 ~ 3e-4 | 高 | 过大导致震荡 |
| Guard 隐藏层倍数 | 2x ~ 4x kv_dim | 低 | 不是瓶颈 |
什么时候用 / 不用?
| 适用场景 | 不适用场景 |
|---|---|
| 多个不完全可信的 LLM 智能体 | 单智能体系统 |
| 需要高效通信(KV 比文本快) | 所有智能体完全可信 |
| 有明确敏感信息(用户 PII 等) | 通信已加密(TLS 已足够) |
| 对延迟敏感的边缘部署 | KV 维度极大,Guard 变换代价高 |
我的观点
LCGuard 的思路是对的:把安全问题转化为学习问题,而不是靠规则过滤或差分隐私(后者会严重破坏语义)。有任务损失做锚点,训练比 GAN 稳——这是它比纯生成对抗方法更实用的地方。
但几个实际问题不能忽视:
攻击者强度假设:LCGuard 的隐私保证上限取决于训练时使用的对抗解码器。如果真实攻击者能力更强(更大模型、更多数据),保证可能失效。这是基于学习的安全的共有局限,不是 LCGuard 特有的,但也不能因此掉以轻心。
分布外泛化问题:Guard 在训练分布的敏感输入上表现好,但对未见类型的敏感信息(比如训练时没有密码格式,推理时传了密码)保护效果未知。需要在部署前做专门的红队测试。
评估协议的公平性:用”独立攻击者”评估泄露时,这个攻击者本身的训练成本和能力很难量化,容易低估真实风险。
值得一试的场景:医疗或金融领域的多智能体流水线,某个 Agent 处理用户隐私数据,输出需要传给下游 Agent,但中间传输通道不完全可信。LCGuard 提供了一个比”完全不共享 KV”更高效、比”原始 KV 共享”更安全的中间方案。
Comments