PlanTwin: Privacy-Preserving Planning Abstractions for Cloud-Assisted LLM Agents

📄 arXiv: 2603.18377v1 📥 PDF

作者: Guangsheng Yu, Qin Wang, Rui Lang, Shuai Su, Xu Wang

分类: cs.CR, cs.AI, cs.ET

发布日期: 2026-03-19

💡 一句话要点

提出PlanTwin以解决云端规划中的隐私泄露问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 隐私保护 云计算 规划系统 数字双胞胎 安全策略 多轮披露控制 大型语言模型

📋 核心要点

  1. 现有方法未能有效控制云端规划者在规划过程中观察到的原始环境状态,导致隐私泄露风险。
  2. PlanTwin通过创建一个规划导向的数字双胞胎,去除可重构细节,确保云端规划者仅在安全的抽象图上操作。
  3. 在60个智能任务的评估中,PlanTwin实现了敏感信息的完全不披露,同时保持了接近全上下文系统的规划质量。

📝 摘要(中文)

云托管的大型语言模型(LLMs)已成为智能系统中的主要规划者,负责协调工具和指导本地环境的执行。然而,许多部署环境是私密的,包含源代码、文件、凭证和元数据,无法暴露给云端。现有解决方案未能控制云端规划者在规划过程中观察到的内容,导致原始环境状态仍然暴露。本文提出PlanTwin,一种隐私保护的架构,通过将真实环境投影到一个规划导向的数字双胞胎中,避免暴露原始本地上下文。该架构在保证规划质量的同时,实现了敏感信息的完全不披露。

🔬 方法详解

问题定义:本文旨在解决云辅助规划中原始环境状态暴露的问题。现有方法在执行隔离、访问控制等方面有所考虑,但未能有效防止云端规划者观察到敏感信息。

核心思路:PlanTwin的核心思路是将真实环境映射到一个去标识化的数字双胞胎中,保留规划相关的结构,同时去除可重构的细节。这样设计的目的是在不暴露敏感信息的前提下,允许云端进行有效的规划。

技术框架:PlanTwin的整体架构包括三个主要模块:本地环境的数字双胞胎生成、云端规划者的操作接口以及本地安全策略的执行。数字双胞胎通过去标识化和结构约束来确保隐私,而本地的安全策略则控制信息的逐步披露。

关键创新:PlanTwin的主要创新在于引入了$(k,δ)$-匿名性和$ε$-不可链接性作为隐私目标,解决了隐私与效用之间的权衡问题。这与现有方法的本质区别在于,PlanTwin不仅关注信息的隔离,还关注信息的抽象和去标识化。

关键设计:在设计中,PlanTwin采用了多轮披露控制来减轻组合泄露,确保在不同的规划阶段对敏感信息的管理。此外,系统的能力界面被限制在一个安全的范围内,以防止不必要的信息泄露。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

在60个智能任务的实验中,PlanTwin实现了敏感信息的完全不披露(SND = 1.0),同时保持了接近全上下文系统的规划质量。四个云规划者中,有三个的规划质量评分(PQS)超过0.79,且整个管道的效用损失低于2.2%。

🎯 应用场景

PlanTwin的研究成果在多个领域具有潜在应用价值,尤其是在需要保护敏感信息的智能系统中,如金融、医疗和个人数据管理等。通过确保云端规划过程中的隐私保护,PlanTwin能够促进更广泛的云计算和人工智能应用的安全性与可靠性。

📄 摘要(原文)

Cloud-hosted large language models (LLMs) have become the de facto planners in agentic systems, coordinating tools and guiding execution over local environments. In many deployments, however, the environment being planned over is private, containing source code, files, credentials, and metadata that cannot be exposed to the cloud. Existing solutions address adjacent concerns, such as execution isolation, access control, or confidential inference, but they do not control what cloud planners observe during planning: within the permitted scope, \textit{raw environment state is still exposed}. We introduce PlanTwin, a privacy-preserving architecture for cloud-assisted planning without exposing raw local context. The key idea is to project the real environment into a \textit{planning-oriented digital twin}: a schema-constrained and de-identified abstract graph that preserves planning-relevant structure while removing reconstructable details. The cloud planner operates solely on this sanitized twin through a bounded capability interface, while a local gatekeeper enforces safety policies and cumulative disclosure budgets. We further formalize the privacy-utility trade-off as a capability granularity problem, define architectural privacy goals using $(k,δ)$-anonymity and $ε$-unlinkability, and mitigate compositional leakage through multi-turn disclosure control. We implement PlanTwin as middleware between local agents and cloud planners and evaluate it on 60 agentic tasks across ten domains with four cloud planners. PlanTwin achieves full sensitive-item non-disclosure (SND = 1.0) while maintaining planning quality close to full-context systems: three of four planners achieve PQS $> 0.79$, and the full pipeline incurs less than 2.2\% utility loss.