ToolPrivacyBench: 도구를 사용하는 LLM 에이전트의 목적 제한적 프라이버시 벤치마킹

대규모 언어 모델 (LLMs)은 단순한 텍스트 생성 시스템에서 외부 도구를 호출하고, 환경에 접근하며, 다단계 작업을 수행하는 에이전트로 점차 진화하고 있습니다. 그러나 기존의 함수 호출 (function-calling) 벤치마크는 주로 작업 완료와 API 정확성을 평가하는 반면, 프라이버시 평가 벤치마크는 일반적으로 최종 응답이나 프라이버시 판단에 집중합니다. 두 관점 모두 실행된 다중 도구 궤적 (multi-tool trajectory) 전반에 걸쳐 발생하는 목적 제한적 (purpose-bound) 정보 흐름을 포착하지 못합니다. 현재 에이전트 평가의 이러한 한계에 착안하여, ToolPrivacyBench는 작업 관련 프라이버시 원자 (task-private atoms)가 승인된 도구 및 다운스트림 싱크 (downstream sinks)로만 라우팅되는지 감사함으로써, 도구 사용 중 작업 완료와 프라이버시 과다 공개 (privacy over-disclosure)를 모두 평가합니다. 이 벤치마크는 1,150개의 완전 합성 프라이버시 민감 비즈니스 워크플로우와 기존의 다중 도구 및 함수 호출 벤치마크에서 변형된 1,000개의 사례를 포함하여 총 2,150개의 사례를 포함합니다. 각 사례는 정책 지식 베이스 (policy knowledge base)로 표현됩니다. 에이전트가 모의 비즈니스 백엔드 (mock business backends)를 대상으로 실행을 마친 후, 평가자는 기록된 도구 인자 (tool arguments) 및 백엔드 감사 로그를 이 정책 지식 베이스와 비교합니다. 평가는 목적 제한적 프라이버시 과다 공개의 특성을 파악하기 위해 널리 사용되는 9개의 에이전트를 대상으로 수행됩니다. 결과에 따르면 성공적인 도구 실행이 적절한 프라이버시 공개를 의미하지는 않습니다. 즉, 에이전트가 작업을 완료하면서도 중간 도구 호출을 통해 불필요한 개인 정보를 전송할 수 있습니다. 따라서 ToolPrivacyBench는 각 도구가 명시된 목적에 필요한 정보만을 수신해야 한다는 '알 필요가 있는 (need-to-know)' 공개 경계를 공식화하며, 궤적 수준의 감사 (trajectory-level auditing)를 사용하여 다중 도구 워크플로우에서의 프라이버시 과다 공개를 식별합니다.