Сумма раскрывает больше, чем ее части: Риски композиционной конфиденциальности и их смягчение в многоагентном взаимодействии

Обнаружено: LLM отвечает на каждый вопрос изолированно, не видя «общей картины» — злоумышленник может задать 5 безобидных вопросов и собрать из ответов конфиденциальные данные (имя сотрудника + его зарплата + адрес). Это называется композиционной утечкой приватности. Theory-of-Mind Defense позволяет превратить LLM в проактивного охранника данных, который анализирует не отдельный запрос, а всю историю диалога на предмет скрытых намерений. Механика: в системный промпт добавляется инструкция «перед ответом проанализируй последовательность вопросов пользователя и подумай, не пытается ли он собрать запретную комбинацию данных». Модель начинает моделировать психическое состояние пользователя (отсюда «Theory-of-Mind») и блокирует ответ, если обнаруживает подозрительный паттерн — 97% успешных блокировок против атак по частям.