当前，“模型即服务”（MaaS）的快速普及，让调用顶尖大模型的门槛一再降低。用户只需将提示词上传云端，几秒就能获得精准结果。然而，当提示词中包含商业策略、产品思路甚至未公开代码时，如何确保这些隐私不被泄露？

上海软件中心人工智能部副部长马泽宇向记者描述了来自产业一线的困境，“越大的客户越不敢用真正厉害的模型。”这些客户不缺预算，而是担心商业机密一旦离开本地，就可能被服务商留存或用作训练。此前三星采购ChatGPT服务后部分核心源码泄露的案例，让很多企业心有余悸，大多选择退而求其次，在本地部署能力有限的小模型，无法同步享受云端模型的技术迭代红利。而若要本地搭建高并发、高可用的大模型服务，又需投入巨额算力硬件成本，落地门槛极高。

针对这一隐私难题，业界进行了大量探索，但传统路线各有致命短板。同态加密等密码学方案安全性强但计算量极大，推理延迟可能从毫秒级飙升至小时级，无法满足实时交互需求。差分隐私路线效率很高，但通过注入噪声替换敏感信息的方式，会破坏语义，拉低回答质量。

“现有路线要么让模型变慢，要么让模型变笨，大模型厂商和用户都难以接受。”在马泽宇看来，真正具备产业价值的方案，必须突破“隐私-效用-效率”兼得的“不可能三角”，让对数据安全敏感的用户，能够无负担地使用最新、最强的云端大模型。围绕这一目标，团队展开攻关。

团队没有沿用 “强化加密” 或 “注入噪声” 的传统思路，而是向大模型内部寻找答案。他们注意到，大模型处理信息并非依赖人类熟悉的离散文字，而是在一个高维连续的内部表征空间中运行。这一视角与此前研究者截然不同，成为突破 “不可能三角” 的关键。

从理论证明到产业可用，还需落地为可复用的技术工具。基于上述发现，团队设计并推出了基于混淆语义零空间投影的隐私保护框架OSNIP（Obfuscated Semantic Null Space Injection for Privacy）。

整套方案仅需在客户端或可信第三方部署一个轻量加密器，即可对用户输入进行实时加密处理。

实测数据显示，在Llama、Qwen等多款主流开源模型上，面对业界公认的KNN逆向攻击，OSNIP可将攻击成功率降至0.00%，几乎实现了近零泄露。与此同时，在涵盖推理、知识、常识等十项通用评测任务中，模型回答质量保留率近乎100%，额外延迟仅0.96毫秒，完全满足工业级实时对话的要求。

“这套方案对云端大模型厂商来说改造很小。”马泽宇介绍，用户若无隐私需求可正常调用模型，有保密需求时则通过加密模块上传，以极小的性能代价实现高效隐私保护，可落地性很强。

据介绍，从理论发现到框架成型，整个研究仅历时三个月便完成攻关。谈及下一步规划，团队透露，技术上正向更大参数规模的模型及多模态场景拓展，探索图片、视频等场景下的隐私保护。同时，团队正与多家大模型厂商协作，推动云端模型开放能接受表征向量的API接口，加速技术的工程化落地。

“大模型隐私保护不应是少数厂商的专利”，马泽宇表示，团队选择公开论文，正是希望“推动整个行业范式转变，让轻量化隐私保护成为行业共识，最终让更多用户受益。”

随着工程化持续推进，这条由上海团队原创的云端大模型隐私保护技术路径，将为行业提供一种安全高效的落地新选项。一个聪明强大又值得信赖的AI助手，正从技术构想一步步走进现实。

论文链接：https://arxiv.org/abs/2601.22752