AI Privacy 关注的是：用户数据、钱包身份、链上行为、私有记忆、API key 和模型上下文之间，哪些可以共享，哪些必须隔离，哪些只应该在本地处理。

为什么要学这个

Web3 数据公开，不代表用户没有隐私。地址关联、交易历史、持仓、治理投票、Agent 偏好、私有任务和聊天内容组合在一起，会形成非常具体的用户画像。

AI 系统又会扩大数据面：它会读取更多上下文、保留记忆、调用第三方模型、写日志、上传文件、调用工具。隐私设计必须从一开始进入架构。

AI x Web3 的隐私问题，不是单点数据泄漏，而是链上公开身份和 AI 私有上下文被拼接。

第一性原理

模型只应该看到完成任务所需的最小数据。

不要因为模型“可能有帮助”就把钱包历史、私聊、API key、完整文档和用户偏好全部塞进上下文。上下文越多，泄漏面越大，误用风险越高。

• 数据边界要显式：哪些进模型，哪些只进工具，哪些只在本地。
• 记忆要可管理：用户要能查看、删除、导出或关闭记忆。
• 链上身份要谨慎关联：不要默认把多个地址和真实身份合并展示。

知识节点

Data Boundary

难度：初级。 Data Boundary 定义数据在用户设备、应用后端、模型服务、链上和第三方工具之间如何流动。

每个数据字段都要问：是否必要，是否可脱敏，是否可本地处理，是否会进入日志，是否会给第三方模型。

Data Boundary 最好画成数据流图，而不是写成隐私政策长文。用户输入在哪里，钱包地址在哪里，交易历史从哪里来，模型服务是谁，日志保存多久，都要清楚。

对 Agent 来说，边界还要按工具划分。浏览器工具、钱包工具、模型工具、索引工具看到的数据不应该默认互通。

Local AI

难度：中级。 Local AI 把部分推理放在用户设备或私有环境中，减少敏感数据外发。

它适合处理私有文档、钱包历史摘要、草稿生成、敏感分类等任务。但本地模型也有成本：模型能力、设备性能、更新、隐私保护和安全沙箱都要处理。

Local AI 的一个好用原则是：先在本地做筛选和脱敏，再把必要摘要发给强模型。例如本地先从钱包历史中提取“与本任务有关的 3 笔交易”，而不是上传全部历史。

本地不等于绝对安全。本地 Agent 仍可能被恶意文件、插件或网页攻击，所以本地运行也需要 sandbox 和权限控制。

Private Memory

难度：中级。 Private Memory 是 Agent 为用户保存的长期偏好、历史任务和私有上下文。

它不能变成不可见黑箱。用户应该知道记了什么、为什么记、如何删除、是否用于模型训练、是否会跨设备同步。

Private Memory 可以分层：短期任务记忆、长期偏好、敏感身份信息、钱包相关记录。不同层有不同保留时间和访问权限。

一个常见风险是“为了更智能而永久保存一切”。这会让 Agent 越用越像私人数据库，一旦泄漏伤害很大。默认应该最小化、可查看、可删除。

Secret Management

难度：高级。 Secret Management 处理私钥、API key、session token、JWT、wallet credentials 和加密密钥。

这些秘密不应该进入 prompt、模型输出、普通日志或 analytics。Agent 要调用服务时，应该通过受控工具使用 secret，而不是让模型直接读取 secret。

Secret Management 还要处理轮换和撤销。API key 泄漏后能否快速换掉？session token 是否短期有效？生产 key 和测试 key 是否隔离？

在 Web3 场景里，助记词和私钥不应该出现在任何 Agent prompt。即使用户主动粘贴，系统也应该识别并拒绝处理。

Minimal Disclosure

难度：初级。 Minimal Disclosure 是只暴露完成任务所需的最少信息。

例如证明“余额足够支付 10 USDC”，不一定要暴露全部持仓；证明“用户有权限”，不一定要公开真实身份；总结交易风险，不一定要上传完整钱包历史。

Minimal Disclosure 可以用技术和产品共同实现：只传必要字段、使用零知识证明、使用一次性地址、按应用隔离身份、用 summary 替代原文。

对 AI 产品来说，最常见的最小披露是“摘要代替原始数据”。模型不一定需要全部聊天记录，只需要和当前任务相关的几条结构化事实。

Encrypted Data

难度：中级。 Encrypted Data 可以保护存储和传输中的隐私，但不能自动解决模型使用时的泄漏。

数据进入模型推理时通常需要被解密或在可信环境中处理。加密要和访问控制、密钥管理、TEE、最小化上下文结合起来。

Encrypted Data 还要考虑谁持有密钥。平台持钥、用户持钥、多方分片、硬件持钥，信任模型完全不同。

如果数据只是“服务器加密保存”，但每次推理都由服务器解密并发送给模型，那么它解决的是存储安全，不是模型使用隐私。

User Consent

难度：初级。 User Consent 要让用户明确知道数据会被怎样使用。

同意连接钱包，不等于同意分析全部历史；同意使用 Agent，不等于同意把数据发给所有第三方模型；同意保存记忆，也不等于同意永久保存。

User Consent 应该具体到动作和数据类型。例如“允许读取当前地址余额”“允许分析最近 30 天交易”“允许保存风险偏好”“允许发送摘要给云端模型”应该是不同开关。

Consent 还应该可撤销。撤销后，系统要说明哪些数据会删除，哪些链上公开记录无法删除，哪些日志因安全或合规需要保留。

在 AI x Web3 中的位置

AI Privacy 是 Agent Wallet、Chain-aware Context 和 Governance AI 的基础边界。没有隐私设计，Agent 越懂用户，泄漏后伤害越大。

尤其要注意链上公开数据和私有数据的组合风险。单看某个地址可能只是公开信息，但和聊天记录、邮箱、地理位置、社群身份结合后，就可能变成真实身份画像。

最小实践

画一张 Agent 数据流图：

1. 列出用户输入、钱包地址、交易历史、API key、模型上下文、日志、记忆。
2. 标记每项数据存在哪里。
3. 标记哪些数据会发给第三方模型或工具。
4. 标记哪些字段可以脱敏、hash、聚合或本地处理。
5. 写出用户如何查看、撤销和删除这些数据。

扩展阅读

• W3C DID Core：理解去中心化身份如何表达控制权和解析方式。
• W3C Verifiable Credentials：理解最小披露和可验证声明的基础模型。
• OpenAI Safety Best Practices：学习敏感数据和安全设计建议。
• Oasis Documentation：了解隐私计算和 TEE 在 Web3 场景中的方向。

编辑此页

上一页AI 安全（AI Security）

下一页AI 主权（AI Sovereignty）