PlanTwin: Privacy-Preserving Planning Abstractions for Cloud-Assisted LLM Agents

📄 arXiv: 2603.18377v2 📥 PDF

作者: Guangsheng Yu, Qin Wang, Rui Lang, Shuai Su, Xu Wang

分类: cs.CR, cs.AI, cs.ET

发布日期: 2026-03-19 (更新: 2026-03-20)

💡 一句话要点

PlanTwin:为云辅助LLM代理提供隐私保护的规划抽象

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 隐私保护 云辅助规划 大型语言模型 数字孪生 Agent系统

📋 核心要点

  1. 现有云辅助Agent系统中,LLM规划器直接访问本地环境的原始状态,存在严重隐私泄露风险。
  2. PlanTwin通过构建规划导向的数字孪生,对环境进行抽象和去标识化,云端LLM仅在此孪生上进行规划。
  3. 实验表明,PlanTwin在保证敏感信息不泄露的前提下,规划质量接近完整上下文系统,效用损失很小。

📝 摘要(中文)

云端托管的大型语言模型(LLM)已成为代理系统中的事实规划器,协调工具并指导本地环境的执行。然而,在许多部署中,规划所针对的环境是私有的,包含源代码、文件、凭据和元数据,这些数据不能暴露给云。现有的解决方案解决了相邻的问题,如执行隔离、访问控制或机密推理,但它们没有控制云规划器在规划期间观察到的内容:在允许的范围内,原始环境状态仍然暴露。我们引入PlanTwin,一种隐私保护架构,用于云辅助规划,无需暴露原始本地上下文。关键思想是将真实环境投影到一个面向规划的数字孪生体中:一个模式约束和去标识化的抽象图,它保留了与规划相关的结构,同时删除了可重建的细节。云规划器仅通过有界能力接口在此经过清理的孪生体上运行,而本地网关执行安全策略和累积披露预算。我们进一步将隐私-效用权衡形式化为能力粒度问题,使用$(k,δ)$-匿名性和$ε$-不可链接性定义架构隐私目标,并通过多轮披露控制来缓解组合泄漏。我们将PlanTwin实现为本地代理和云规划器之间的中间件,并在跨越十个领域的60个代理任务上使用四个云规划器对其进行评估。PlanTwin实现了完全的敏感项非披露(SND = 1.0),同时保持了接近完整上下文系统的规划质量:四个规划器中有三个实现了PQS $> 0.79$,并且整个pipeline的效用损失小于2.2%。

🔬 方法详解

问题定义:现有云辅助Agent系统中,云端LLM规划器需要访问本地环境信息以进行规划。然而,本地环境通常包含敏感数据,如源代码、凭据等,直接暴露给云端存在严重的隐私泄露风险。现有方法侧重于执行隔离和访问控制,但无法控制云端规划器在规划过程中观察到的原始环境状态。

核心思路:PlanTwin的核心思想是构建一个“规划导向的数字孪生”,作为真实环境的抽象表示。这个数字孪生经过模式约束和去标识化处理,仅保留与规划相关的结构信息,并移除可用于重建原始环境的细节。云端LLM规划器仅与这个数字孪生交互,从而避免直接访问敏感数据。

技术框架:PlanTwin作为本地Agent和云端规划器之间的中间件。整体流程如下:1. 本地Agent将真实环境投影到数字孪生;2. 数字孪生通过有界能力接口暴露给云端规划器;3. 云端规划器在数字孪生上进行规划,生成行动计划;4. 本地网关执行安全策略和累积披露预算,控制信息披露;5. 本地Agent执行行动计划。

关键创新:PlanTwin的关键创新在于提出了“规划导向的数字孪生”这一概念,并将其应用于云辅助Agent系统的隐私保护。与现有方法相比,PlanTwin不是简单地限制访问或加密数据,而是从根本上改变了云端规划器所观察到的环境表示,从而实现了更强的隐私保护。

关键设计:PlanTwin的关键设计包括:1. 数字孪生的模式约束,确保只暴露必要的规划信息;2. 去标识化处理,移除可用于识别个体或重建原始环境的细节;3. 有界能力接口,限制云端规划器的操作权限;4. 本地网关的安全策略和披露预算,控制信息披露的范围和程度。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

PlanTwin在60个Agent任务上进行了评估,结果表明:1) 实现了完全的敏感项非披露(SND = 1.0),即所有敏感信息均未泄露;2) 在四个云规划器中,三个实现了PQS (Planning Quality Score) $> 0.79$,表明规划质量接近完整上下文系统;3) 整个pipeline的效用损失小于2.2%,表明PlanTwin对规划性能的影响很小。

🎯 应用场景

PlanTwin可应用于各种需要云辅助规划但又涉及敏感数据的场景,例如:1) 软件开发:保护源代码和凭据;2) 金融服务:保护客户数据和交易信息;3) 医疗保健:保护患者病历和诊断信息。通过PlanTwin,企业可以在利用云端LLM强大规划能力的同时,确保本地环境的隐私安全。

📄 摘要(原文)

Cloud-hosted large language models (LLMs) have become the de facto planners in agentic systems, coordinating tools and guiding execution over local environments. In many deployments, however, the environment being planned over is private, containing source code, files, credentials, and metadata that cannot be exposed to the cloud. Existing solutions address adjacent concerns, such as execution isolation, access control, or confidential inference, but they do not control what cloud planners observe during planning: within the permitted scope, \textit{raw environment state is still exposed}. We introduce PlanTwin, a privacy-preserving architecture for cloud-assisted planning without exposing raw local context. The key idea is to project the real environment into a \textit{planning-oriented digital twin}: a schema-constrained and de-identified abstract graph that preserves planning-relevant structure while removing reconstructable details. The cloud planner operates solely on this sanitized twin through a bounded capability interface, while a local gatekeeper enforces safety policies and cumulative disclosure budgets. We further formalize the privacy-utility trade-off as a capability granularity problem, define architectural privacy goals using $(k,δ)$-anonymity and $ε$-unlinkability, and mitigate compositional leakage through multi-turn disclosure control. We implement PlanTwin as middleware between local agents and cloud planners and evaluate it on 60 agentic tasks across ten domains with four cloud planners. PlanTwin achieves full sensitive-item non-disclosure (SND = 1.0) while maintaining planning quality close to full-context systems: three of four planners achieve PQS $> 0.79$, and the full pipeline incurs less than 2.2\% utility loss.