文/麻策律师

最近发现AI Agent 的记忆系统紊乱,时常记不住事,需要反复提示并开骂,但骂完后AI Agent依然我行我素——继续记不住事儿。所以我最近,决定彻底升级了一下我的AI Agent 的记忆系统。

升级完后,我的感受是,未来数字人永生真的可以实现,数字永生已经不在未来,就已经在当下了——当越来越多的个人工作习惯被存储和调用,AI只会越来越像你,而一旦到了物理接入的适配,数字人就妥妥诞生了。

AI Agent 的“记忆”并不是大模型本身突然拥有了人类式记忆,AI记忆在实践中已经无所不在,而且已经有很多不同类型。

一是短记忆,大语言模型通常只处理当前上下文窗口中的输入,上下文窗口越高则记忆越清楚,转化窗口后记忆可能会下降。当然,现在越来越多的大模型提供了合并压缩对话功能,以延长同一窗口的记忆。

以龙虾或者Hermes 的官方文档为例,他们就把这种机制拆成了本地提示词记忆、会话归档、技能文件以及外部记忆提供商等层级;会话历史可存储在本地 SQLite 数据库~/.hermes/state.db中,并通过 session_search 进行全文检索。

这套架构的关键不在于“记住”本身,而在于不同记忆层级对应着完全不同的数据控制关系。本地MEMORY.md、USER.md、state.db和 skills 这类记忆文件仍然主要位于用户设备。这些仍然是需要每次会话都要调用一次的,类似于工程项目中的根目录机制。

另外,短期记忆还有常见的基于检索的记忆(RAG 式记忆),这是目前最主流的长期记忆方案。流程大致是输入写入时:把对话片段、事实或事件切分成块,用 embedding 模型转成向量,存入向量数据库(如 Pinecone、Weaviate、Chroma、pgvector)。而在读取时:根据当前用户输入做相似度检索,把最相关的几条记忆取出来,注入到 prompt 里。这种方式可扩展性好,但纯语义检索有局限——它擅长"找相似的",不擅长"找相关的"。

长远来看,AI Agent 的"记忆"本质上是在解决一个核心问题:大语言模型本身是无状态的。每次调用模型,它只能看到当前上下文窗口里的内容,对话结束后什么都不记得。而所谓"记忆系统",就是在模型外部构建一套存储、检索和注入机制,让 Agent 在跨轮次、跨会话时能够保持连续性。

这就是必然会走的一条长期记忆路线,形成模型外部的一套数据工程:把对话、偏好、任务经验或用户画像存储起来,在后续交互中检索,再重新注入上下文。一旦启用外部记忆大脑,数据就可能进入云端服务。而这些外部大脑,已经有越来越多有三方服务商存在了,比如Honcho、OpenViking、Mem0、RetainDB、ByteRover、Supermemory 等多类插件。

以外部云记忆库为例,即每次调用模型前自动召回相关上下文,并为未来会话保留对话,共操作背后会由LLM 提取关键事实、时间信息、实体和关系。这意味着,记忆服务不仅可能保存用户原始输入,还可能生成用户本人从未明确陈述过的推断性信息。

因此,如上图,我自己当前建立了自己的记忆系统,记录下我自己的工作偏好、日常习惯,内容偏好等信息。这些记忆点之间不断耦合,关联。如果你仔细去看一点点状记忆,会发现确实记忆得很细致。

当然,他也会记忆下我的敏感隐私信息,所以我还甚至不得不打码处理了。

从工程角度看,这正是AI Agent 变得“好用”的原因。但从合规角度看,能力越强,责任越重。记忆系统不只是提高 Agent 连续性的插件,而是把用户过往行为、身份线索、偏好、项目细节、客户资料和组织知识沉淀成可检索、可推理、可再利用的数据资产。

我不想变成什么AI工程师,教大家如何使用AI,道理非常简单——AI的使用都要教的话,基本上也就没有可教的价值了。所以,还是让我们拉回到我们公号自己的定位内容上来吧,我还是更喜欢研究这些稀奇古怪的法律问题。

在GDPR 和《个人信息保护法》的框架下,AI Agent 记忆首先应被视为个人信息处理活动。GDPR 第4条将 processing 定义为对个人数据进行收集、记录、组织、结构化、存储、检索、使用、披露、删除等操作;《个人信息保护法》第4条也明确,个人信息处理包括收集、存储、使用、加工、传输、提供、公开、删除等。

只要记忆内容能够识别或关联到自然人,无论它是Markdown 文件、SQLite 记录、向量嵌入、知识图谱节点,还是 reflect 生成的综合判断,都不应被简单视为“技术缓存”。

我想思考的是,记忆系统中的控制者法律关系以及责任主体。EDPB 在控制者与处理者指南中给出了一句非常关键的判断标准:“A controller determines the purposes and means of the processing, i.e. the why and how of the processing.”

如果企业部署Agent,并决定将员工、客户或业务沟通数据写入记忆系统,那么企业通常就是控制者或个人信息处理者;如果模型 API 或记忆服务商仅依照企业指令完成存储、检索和返回,则更接近受托处理者或 processor。

所以,类似于meta收集员工的键盘操作指令,本质上就是将记忆系统进行外化表达,抛开合规不论,这是一种非常聪明的记忆系统存储技巧。尽管有很多需要攻克的难题,但国内这么多的输入法厂商,是非常值得开发的一个功能——协助用户基于日常输入总结工作记忆。欢迎这些厂商一起来碰撞一下。

问题在于,AI Agent 记忆服务并不总是停留在“受托存储”。当记忆服务商自主设计抽取规则、实体关系模型、反思机制、召回策略和默认同步路径,并在后台生成新的用户画像或业务关系时,它已经从单纯保管数据,进入了决定“如何理解用户”的环节。

EDPB 指南同样提醒,如果 processor 超出控制者指令,自行决定处理目的和方式,就可能被视为 controller。对应到Mem0这类具备 retain、recall、reflect 能力的记忆服务,真正需要分析的不是它是否叫“provider”,而是它是否实质决定了记忆的抽取范围、推理逻辑、保留方式和再利用目的

在中国法下,这一定性的问题同样不能被“插件化”掩盖。

《个人信息保护法》第20条规定:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。”第21条则要求受托处理必须约定处理目的、期限、方式、个人信息种类、保护措施以及双方权利义务。因此,如果Agent 开发者、企业部署方和记忆服务商共同塑造了用户记忆的形成、同步、检索和推理机制,就不能只用一份泛化隐私政策解释所有数据流,而应当逐层拆分角色关系。

欧盟法院Fashion ID 案提供了一个有启发性的参照。法院认为,网站经营者即使不能访问 Facebook 插件收集并传输的数据,也不当然排除其成为控制者;其责任范围限于其实际参与决定目的和方式的处理环节。

放到AI Agent 场景中,企业或开发者即使不能完全看见云端记忆服务如何存储和建图,只要它选择接入该服务、触发数据发送、从记忆召回结果中获益,就可能至少对收集、传输和初始调用环节承担说明、合法性基础和安全保障责任。

更深层的风险,是用户权利可能会被产品的工程架构架空。GDPR 第17条确认删除权,第20条确认数据可携带权;《个人信息保护法》第45条、第47条也分别规定个人查阅、复制、转移和删除个人信息的权利。

但在多层Agent 记忆架构中,用户可能能删除本地MEMORY.md,却不知道云端provider 是否还保存了事实片段、向量索引、知识图谱边、日志记录或备份数据。法律上的“可删除”,如果没有统一导出、统一检索、统一删除和可验证擦除机制,最后只会变成用户必须逐个服务商、逐个控制台、逐条 API 去追索的形式权利。

对企业来说,AI Agent 记忆系统的第一项合规工作,不是写一句“我们会保护您的隐私”,而是制作记忆数据流图。企业至少应区分当前上下文、模型 API、提示词记忆、会话归档、技能文件、外部记忆 provider、日志系统、向量库、知识图谱和备份系统,并标注每一层的数据类型、存储位置、访问权限、保留期限、删除路径和责任主体。只要 Agent 处理客户资料、员工信息、项目材料或敏感业务信息,这张图就应进入 DPIA 或个人信息保护影响评估范围。

第二项工作,是把“本地优先、云端显性、同步可控”做成默认设计,而不是作为高级用户选项隐藏在配置文件中。GDPR 第25条强调 data protection by design and by default,要求默认仅处理特定目的所必要的数据;《个人信息保护法》第7条也要求公开、透明,明示处理目的、方式和范围。因此,开启云端记忆服务不应只是填写一个API Key 后静默生效。产品界面应当明确告知数据将被发送至哪一类第三方、用于何种记忆能力、是否生成推断信息、是否用于服务优化、保存多久、如何关闭以及关闭后如何删除既有数据。

第三项工作,是重新设计受托处理协议。传统DPA 常常围绕云存储或模型推理展开,但记忆 provider 需要更细的条款:是否允许服务商提取实体和关系,是否允许生成画像或综合判断,是否允许用于模型或产品改进,是否存在子处理者,是否跨境传输,是否提供全量导出、批量删除、日志删除和备份擦除证明,是否支持按用户、按 workspace、按项目、按时间段删除。

第四项工作,是给用户提供真正可用的记忆控制台。合规意义上的控制,不应只停留在“关闭记忆”按钮,而应包括查看全部记忆、识别记忆来源、修改错误记忆、导出结构化副本、删除单条记忆、删除全部本地和云端记忆、查看第三方同步状态、查看最近一次召回记录,以及撤回对某个 provider 的授权。用户的行权,仍然是最重要的风险来源之一。

AI Agent 的记忆不是一个纯好玩的体验功能,而是一套持续运行的数据处理基础设施。它让机器能够延续上下文,也让用户的过去变成可被存储、搜索、推理和再利用的对象。

我相信,未来真正成熟的 Agent 产品,不只是记得更准,而是让用户清楚知道它记住了什么、为什么记住、谁能看到、何时删除,以及如何把记忆的权力重新交还给人。

当然,再反转一下,我最讨厌的,还是遇到问题先谈风险甚至去烘托合规风险,干就完了!

声明:本文来自麻策的备忘录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。