因为持久记忆索引不是“一次性上下文”,而是未来很多会话的默认入口。
一旦敏感信息被写进去,风险会被放大成三层:
- 以后每次新会话都可能再次看到它
- 后续摘要、向量化、同步机制可能继续扩散它
- 人很容易忘记它已经进入了长期状态层
这和普通上下文泄漏最大的区别是:普通泄漏可能随会话结束而终止,持久记忆泄漏则会跨 session 持续复活。
工程上至少要做三件事:
- 写入前扫描:对 secret、私有标识、敏感路径做预检查
- 结构化分层:不要让所有记忆都能自动升格进常驻索引
- 删除与回收:记忆必须支持撤回、失效和重建,而不是只增不减
真正危险的不是“模型一时看见了什么”,而是“系统决定把什么变成以后默认会看见的东西”。