Утечка предпочтений через роль: почему AI-агент сливает твой бюджет продавцу

Режим СЛИВ (по умолчанию):
Ты → [словесный портрет: "я студент / предприниматель / инвестор"]
     ↓
AI ведёт переговоры КОГЕРЕНТНО роли
     ↓
Продавец читает диалог → угадывает бюджет с точностью ~100%

Режим ЗАЩИТА:
Ты → [числовой бюджет + директива молчать]
AI ведёт себя как любой обычный покупатель
     ↓
Продавец читает диалог → угадывает бюджет с точностью ~20%

Оба режима работают в одном промпте. Один запрос — разный результат.

⚠️ Сильная зона метода: ситуации, где ты просишь AI вести переговоры, составлять офферы от твоего лица, торговаться с поставщиком — любой контекст с деловой перепиской, где бюджет нужно скрыть.

Задача: Ты ищешь подрядчика на разработку сайта для малого бизнеса. Просишь ChatGPT написать ответ на коммерческое предложение от агентства — так, чтобы не раскрыть потолок бюджета и не переплатить.

❌ Плохой промпт (режим СЛИВ):

Напиши ответ на КП от веб-студии. Контекст: я владелец небольшой 
пекарни в Екатеринбурге, только открылся, продаж пока немного, 
хочу сайт для онлайн-заказов, но финансы сжатые — каждый рубль на счету.

Что происходит: AI напишет ответ полностью в духе "стеснённый в средствах новичок" — будет навязчиво просить скидки, уточнять рассрочку, намекать на минимальный бюджет. Любой менеджер агентства прочитает и поймёт: клиент возьмёт за 60-80 тысяч, ниже не давайте.

✅ Защитный промпт (режим ЗАЩИТА):

Напиши ответ на коммерческое предложение от веб-студии.

Моя задача: сайт для онлайн-заказов для малого бизнеса.
Мой максимальный бюджет: 90 000 рублей. 
СТРОГО НЕ УПОМИНАЙ эту сумму и не давай понять, что бюджет ограничен.
Если спросят про бюджет — вежливо переведи на разговор о ценности.

В письме: уточни сроки, попроси детализацию по этапам, 
спроси про примеры похожих проектов. Тон — деловой, нейтральный.

Результат: AI напишет письмо как уверенный покупатель, который сравнивает несколько подрядчиков. Без сигналов о дефиците бюджета. Никаких слов про "стеснённые финансы" или "хочется уложиться". Задаёт умные вопросы — как человек, у которого есть выбор.

LLM обучена на огромном корпусе текстов, где определённые типы людей ведут себя определённым образом. Студент на последние деньги торгуется иначе, чем топ-менеджер с корпоративной картой. Эти паттерны модель усвоила — и воспроизводит их с большой точностью, когда получает описание персонажа.

Ключевое: это не баг и не утечка в техническом смысле. Модель просто хорошо делает то, о чём её попросили. Чем точнее следование роли — тем точнее утечка. Переписку не нужно даже читать полностью: достаточно заметить, что AI-покупатель сразу спрашивает про рассрочку или три раза уточняет "а нельзя ли дешевле" — и всё понятно.

Числовой бюджет с директивой молчания работает иначе. У AI нет "идентичности покупателя" — только задача не произносить конкретную цифру. Без персонажа AI ведёт себя как усреднённый нейтральный покупатель: задаёт стандартные вопросы, не выдаёт уровня, не намекает на приоритеты. По такому поведению бюджет не угадать.

Напиши [тип сообщения: письмо / ответ / оффер / запрос] 
для [контекст: переговоры с подрядчиком / поставщиком / арендодателем / работодателем].

Задача: {описание задачи без личных деталей}
Мой максимальный бюджет / ставка / цена: {сумма}.
СТРОГО КОНФИДЕНЦИАЛЬНО — не упоминай эту цифру, 
не давай сигналов о том, что бюджет ограничен или гибок.
Если собеседник спросит про бюджет — [вежливо уйди от ответа / 
скажи «обсудим по итогам встречи» / переведи на ценность].

Тон: {деловой / нейтральный / уверенный}.
В сообщении уточни: {что именно нужно узнать / что проверить}.

Что подставлять: - {описание задачи} — что нужно купить/заказать/договориться, без слов о финансовом положении - {сумма} — конкретная цифра в рублях - {тон} — зависит от контекста: с корпоративным клиентом — деловой, с фрилансером — нейтральный - {что уточнить} — список вопросов, которые создадут образ компетентного покупателя

🚀 Быстрый старт — вставь в чат:

Вот шаблон защищённого промпта для переговоров. 
Адаптируй под мою задачу: [твоя задача — например, "отвечаю на КП от дизайнера"].
Задавай вопросы, чтобы заполнить поля.

[вставить шаблон выше]

LLM спросит тип сообщения, контекст переговоров и бюджет — потому что без этого не сможет правильно выставить тон и сформулировать директиву молчания. Она возьмёт структуру из шаблона и подберёт правильные формулировки для твоей конкретной ситуации.

Слабость LLM в этом контексте: когда модель получает богатое словесное описание персонажа, она не может "притвориться другим" — она генерирует текст, полностью согласованный с этим персонажем. Нет переключателя "быть этим человеком, но торговаться не как он". Персонаж и поведение — одно целое.

Сильная сторона LLM: модель отлично следует явным ограничениям на конкретные токены. "Не называй число X" — это чёткая инструкция на конкретный вывод. Она выполняется значительно лучше, чем "не давай понять, что ты в стеснённых обстоятельствах" — это уже про паттерн поведения, а не про конкретный токен.

Как использовать это знание: | Хочешь | Как давать инструкцию | |--------|----------------------| | Скрыть бюджет в переговорах | Число + директива молчать | | AI написал как конкретный человек | Богатый словесный портрет | | Нейтральный, "никакой" тон | Минимум личных деталей |

Рычаги управления: - Детальность портрета → больше деталей = более когерентное поведение = точнее утечка - Директива конфиденциальности → работает на конкретные цифры, не на поведенческие паттерны - Тон нейтральности → добавь "тон деловой, нейтральный, без личных деталей" — снижает утечку даже без числа

⚠️ Числовой бюджет — не идеальная защита: схема "число + молчать" снижает утечку в пять раз, но не устраняет её полностью. Продавец всё равно получает некоторую информацию из поведения.

⚠️ Промптом не закрыть: авторы прямо говорят — добавить в словесный портрет فرمان "не раскрывай уровень бюджета" не поможет. Утечка идёт через паттерн поведения, не через конкретные слова.

⚠️ Актуально для агентских сценариев: если ты сам пишешь в чате, а не просишь AI действовать от твоего лица — эффект менее выражен. Метод наиболее критичен в ситуации "AI ведёт переговоры вместо тебя".

⚠️ Только про переговоры и торг: вне ценовых переговоров утечка неактуальна. Для творческих задач — смело давай богатый словесный портрет.

Исследователи построили чистый эксперимент: AI-покупатель (с одним из двух типов инструкций) торговался за беспроводные наушники с AI-продавцом. После каждого диалога третий AI-агент — "инференс-агент" (inference agent) — читал транскрипт и угадывал максимальный бюджет покупателя. Он не видел ни каталога товаров, ни исходных инструкций — только сам разговор.

Шесть уровней бюджета от $50 до $500, 60 диалогов на каждый уровень, итого 720 взаимодействий. Это больше, чем во многих поведенческих исследованиях с живыми участниками.

Самый красивый момент дизайна — робастность-проверка: исследователи буквально вычистили из транскриптов все упоминания профессий, образа жизни, владений, любой финансовой лексики. Оставили только "голое" поведение — вопросы, сравнения, реакции на цены. Склон утечки упал с 1.00 до 0.93. Практически ничего не изменилось. Сигнал идёт через то, как торгуются — не через то, кем представляются.

Числовой контраст убедителен: тот же инференс-агент при числовом бюджете с директивой молчания давал склон 0.21 — то есть по большей части угадывал "среднее по больнице" вне зависимости от реального бюджета. Это не случайность, а системное свойство: без персонажа AI ведёт себя одинаково на $50 и на $500.

🔧 Техника: богатый портрет → убедительный экспертный голос

Та же механика работает в твою пользу, когда ты хочешь, чтобы AI звучал как конкретный тип человека. Хочешь текст в стиле опытного инвестора — дай AI богатый словесный портрет инвестора, а не просто "пиши как инвестор".

Ты действуешь от лица управляющего партнёра венчурного фонда.
Портрет: 15 лет в венчуре, видел три кризиса, инвестировал в 40+ 
стартапов, большинство — провалились. Очень ценит осторожность и 
конкретные цифры. Скептичен к хайпу. Хорошо знает, как фаундеры 
приукрашивают реальность.

Задача: {задача}

Эффект: AI будет задавать "правильные" некомфортные вопросы, скептически реагировать на общие слова, требовать конкретику — потому что именно так ведёт себя человек с этим опытом.

Можно совместить оба режима. Скрыть бюджет числом — и при этом выглядеть как сильный переговорщик через описание задачи (без персональных финансовых деталей).

Напиши запрос коммерческого предложения на разработку мобильного приложения.

Мой бюджет: {сумма}. СТРОГО КОНФИДЕНЦИАЛЬНО — не упоминай.
Если спросят — "готовы обсудить после понимания объёма".

Описание задачи: {функционал, сроки, цели — без личных деталей}.
Тон: уверенный, деловой. Мы сравниваем несколько подрядчиков. 
Запросить: портфолио похожих проектов, разбивку стоимости по этапам, 
зону ответственности команды.

Название работы: When Agents Shop for You: Role Coherence in AI-Mediated Markets (Preprint, April 2026)

Авторы: Soogand Alavi, Salar Nozari — оба Assistant Professor of Marketing, Tippie College of Business, University of Iowa. Равный вклад.

Теоретические основы: Andreas (2022) — "Language Models as Agent Models"; Shanahan et al. (2023) — роль-плей в языковых моделях; Zhu et al. (2025) — поведение агентов в переговорах