W bankowości inwestycyjnej jedno zapytanie do Bloomberga to więcej niż prośba o dane. To sygnał. Jeśli konkurencja obserwuje Twoje zapytania, po kilku dniach może zrekonstruować całą tezę inwestycyjną. Nowa metoda szkolenia agentów AI pozwala wydobywać informacje rynkowe tak, by zewnętrzny obserwator widział tylko niespójny szum, a nie strategię funduszu.
Problem: jak zapytania zdradzają strategię
Badacze z grupy Gurunga opublikowali w 2025 roku benchmark MosaicLeaks. Przetestowali na ponad tysiącu zadań, jak modele AI łączące prywatne dokumenty z przeszukiwaniem sieci ujawniają poufne informacje przez ciągi zapytań. Sedno zagrożenia to efekt mozaiki: pojedyncze pytanie o rentowność obligacji na Węgrzech jest niewinne. Ale drugie o ekspozycję banków regionalnych, trzecie o rezerwy na straty kredytowe i czwarte o płynność rynku wtórnego układają się w obraz: ten fundusz bada konkretnego emitenta pod kątem krótkiej pozycji. Konkurencyjny analityk, który monitoruje zapytania, nie musi kraść dokumentów. Wystarczy, że odczyta wzór.
Z moich rozmów z szefami researchu wynika, że ryzyko mozaikowego wycieku jest niedoceniane. Wielu koncentruje się na pojedynczych danych wrażliwych, a tymczasem strategię zdradza sam układ pytań. W benchmarku MosaicLeaks nawet modele z najwyższej półki wyciekały informacje na poziomie zamiaru badawczego, konkretnych odpowiedzi i weryfikowalnych twierdzeń. Co gorsza, zwykłe uczenie przez wzmacnianie nastawione tylko na skuteczność zadania jeszcze ten wyciek pogarszało.
Rozwiązanie: agent, który kluczy
Proponowany framework PA-DR (Privacy-Aware Deep Research) rozwiązuje to dwoma mechanizmami. Po pierwsze, agent dostaje nagrody nie tylko za poprawną odpowiedź, ale i karę za każdy wyciek informacji prywatnej. Tę karę wylicza wytrenowany klasyfikator prywatności, który ocenia zapytanie pod kątem ryzyka ujawnienia prywatnych danych. Po drugie, klasyfikator pracuje z gęstym przypisywaniem kredytu – nie tylko na końcu zadania, ale po każdym kroku. Dzięki temu agent uczy się generować ciągi zapytań, które są bezużyteczne dla zewnętrznego obserwatora, a jednocześnie prowadzą do celu.
W liczbach: przed zastosowaniem PA-DR trafność odpowiedzi agenta wynosiła 48,7%, a wyciek odpowiedzi i pełnej informacji aż 34,0%. Po wdrożeniu trafność wzrosła do 58,7%, a wyciek spadł do 9,9%. To oznacza, że w co dziesiątym zadaniu konkurencja może się czegoś domyślić, podczas gdy wcześniej działo się to w jednym na trzy. Dla funduszu operującego kilkuset zadaniami badawczymi miesięcznie różnica jest odczuwalna.
Scenariusz: analiza krótkiej pozycji pod przykrywką
Zespołowi researchowemu zależy na sprawdzeniu, czy jeden z dużych europejskich banków ma ukrytą ekspozycję na kredyty węglowe w Azji Południowo-Wschodniej. Mają wewnętrzną notatkę, która sugeruje wysokie ryzyko, ale potrzebują potwierdzenia z publicznych danych – sprawozdań regulatorów, serwisów ratingowych, artykułów branżowych.
Zwykły agent badawczy, wysłany po te informacje, w naturalny sposób zada pytania: ‘ekspozycja Banku X na kredyty węglowe w Wietnamie’, ‘dane o rezerwach Banku X’, ‘komentarze analityków o ryzyku klimatycznym Banku X’. Te trzy zapytania, nawet jeśli pochodzą z różnych IP, są jak palimpsest. Konkurencja od razu odczyta cel.
Agent PA-DR postąpi inaczej. Zacznie od ogólnego pytania o rynek kredytów węglowych w ASEAN, potem przejdzie do standardów sprawozdawczości dla banków w regionie, następnie o historyczne przypadki bankructw w sektorze węglowym. Żadne z pytań nie wskazuje konkretnego banku. Dopiero po połączeniu tych zewnętrznych danych z prywatną notatką agent wytwarza raport: ‘Bank X może mieć 2,3 mld EUR ekspozycji’. Dla zewnętrznego obserwatora to zwykły monitoring tematu ESG, a nie przygotowanie do krótkiej sprzedaży.
Wdrożenie i zwrot z inwestycji
Szkolenie agenta PA-DR nie wymaga gigantycznej infrastruktury. Badacze użyli modelu Qwen3-4B-Instruct, czyli relatywnie małej architektury. Proces można przeprowadzić na własnym klastrze GPU lub w chmurze, trenując na historycznych zadaniach badawczych funduszu. Jeden cykl szkoleniowy zamyka się w kilku dniach. Potem agent działa jako nakładka na istniejące terminale i systemy.
Koszty wycieku alfy są trudne do precyzyjnego wyliczenia, ale szacunki mówią o 5-15% utracie potencjalnego zysku z pozycji, gdy rynek dowiaduje się o strategii przed jej realizacją. Przy pojedynczej transakcji wartej 100 mln EUR, 5% to 5 mln EUR. Jeśli PA-DR redukuje ryzyko wycieku o 24 punkty procentowe, nawet częściowe wdrożenie zwraca się przy pierwszej większej operacji.
Proponuję uruchomić test na jednym zespole analityków. Weźcie 50 historycznych zadań, które już przerobiliście, i odtwórzcie je z agentem PA-DR. Porównajcie, jakie zapytania wpadłyby do monitoringu konkurencji przed i po. Jeśli liczby potwierdzą 9,9% wycieku, macie podstawę do szerszego wdrożenia. To nie magia, to matematyka, która chroni waszą przewagę.
- Ochrona alfy przed wyciekiem przez efekt mozaiki
- Spadek wycieku odpowiedzi z 34% do 9,9%
- Wzrost trafności analiz z 48,7% do 58,7%
Informacje o artykule
Ten artykuł powstał w oparciu o paper naukowy opublikowany w serwisie arXiv.
Paper: MosaicLeaks:Privacy Risks in Querying-in-the-Open for Deep Research Agents
Autorzy: Alexander Gurung, Spandana Gella, Alexandre Drouin, Issam H. Laradji, Perouz Taslakian i in.
Deep research agents increasingly combine private local documents with external tools like web retrieval, creating a privacy risk: an agent’s external queries may leak sensitive information from its local context. This risk is amplified by the mosaic effect, where individual queries may appear ha…
arXiv: arxiv.org/abs/2605.30727
Artykuł wygenerowany ze wsparciem sztucznej inteligencji.
