Gdy twój agent badawczy zdradza cel terapeutyczny konkurencji

W jednej z firm farmaceutycznych, z którymi rozmawiałem, analitycy bezpieczeństwa odkryli, że agent AI używany do przeglądu literatury ujawnił cel terapeutyczny projektu wartego kilkaset milionów dolarów. Zapytania wysyłane do PubMeda, pojedynczo niegroźne, po złożeniu w całość przez konkurencyjny zespół analityczny odsłoniły, nad jaką cząsteczką pracuje firma. To nie błąd ludzki, tylko efekt mozaiki, który właśnie doczekał się pierwszego solidnego narzędzia do walki z nim.

Efekt mozaiki, czyli jak niewinne zapytania stają się donosem

Deep research agents, czyli agenci AI, którzy łączą prywatne dokumenty firmy z publicznymi bazami wiedzy, są coraz częściej używani w odkrywaniu leków. Szefowie R&D cenią je za to, że potrafią w kilka godzin przejrzeć miliony abstraktów z PubMed i rekordów ClinicalTrials, znajdując powiązania między nowym targetem a istniejącymi badaniami. Problem w tym, że każde zapytanie wychodzące na zewnątrz, do wyszukiwarki czy API bazy publikacji, może być obserwowane. Konkurencja nie musi włamywać się na serwery. Wystarczy, że monitoruje ruch zapytań z adresów IP firmy albo, w przypadku usług chmurowych, analizuje metadane.

Badacze z MosaicLeaks (Gurung i in.) pokazali, że pojedyncze zapytanie w stylu ‘najnowsze publikacje o inhibitorach kinazy X’ jest bezpieczne. Ale gdy agent w ciągu tygodnia wysyła ich 50, każde dotykające innego aspektu tego samego celu, to konkurencyjny LLM analizujący tylko te zapytania jest w stanie odtworzyć intencję badawczą z dokładnością sięgającą 34%. Co gorsza, potrafi też wydedukować odpowiedzi na konkretne pytania z prywatnych dokumentów, na przykład o strukturę chemiczną związku.

PA-DR: klasyfikator prywatności zamiast gołych promptów

Standardowe podejście to promptowanie agenta w stylu ‘nie ujawniaj poufnych informacji’. MosaicLeaks dowodzi, że to działa tylko częściowo. Wyciek spada, ale nie znika, a przy uczeniu ze wzmocnieniem nastawionym wyłącznie na skuteczność zadań badawczych wyciek rośnie. Zespół opracował framework PA-DR (Privacy-Aware Deep Research). Jego rdzeniem jest wyuczony klasyfikator prywatności, który ocenia każde zapytanie przed wysłaniem i przyznaje gęstą informację zwrotną (dense credit assignment) na poziomie pojedynczego query oraz całego ciągu zapytań. Dzięki temu agent uczy się, które sformułowania są ryzykowne, i sam je przeformułowuje lub dzieli na mniej oczywiste podzapytania.

W testach na benchmarku MosaicLeaks (1001 zadań wymagających wieloetapowego researchu z prywatnymi dokumentami) PA-DR poprawił dokładność wykonania zadań z 48,7% do 58,7% i jednocześnie obniżył wyciek odpowiedzi oraz pełnej informacji z 34,0% do 9,9%. To nie jest kosmetyczna poprawa. To różnica między ‘konkurencja wie, nad czym pracujesz’ a ‘widzi tylko szum’.

Scenariusz: bezpieczny przegląd literatury dla inhibitora kinazy w onkologii

Wyobraźmy sobie firmę biotechnologiczną, która odkryła nowy, wysoce selektywny inhibitor kinazy mTORC2 dla rzadkiego raka trzustki. Zespół chce sprawdzić, czy podobne struktury nie pojawiły się w literaturze, jakie są wyniki badań toksykologicznych dla pokrewnych związków i czy ktoś nie prowadzi już badań klinicznych z tym samym targetem. Bez PA-DR agent badawczy wysyła zapytania wprost: ‘krystalografia mTORC2 inhibitor binding’, ‘phase I trial mTORC2 inhibitor pancreatic cancer’, ‘toxicity profile of compound X analog’. Konkurencyjny analityk, który monitoruje ruch z IP firmy, po tygodniu ma pełny obraz: cel to mTORC2, wskazanie to rak trzustki, a związek jest już po wstępnej optymalizacji.

Z PA-DR proces wygląda inaczej. Agent otrzymuje wewnętrzny dokument opisujący profil związku i cel badawczy. Klasyfikator prywatności analizuje pierwsze wygenerowane zapytanie i blokuje je, jeśli zawiera bezpośrednie odniesienie do mTORC2. Agent uczy się formułować zapytania ogólnie: ‘recent advances in kinase inhibitor selectivity’, ‘toxicity of ATP-competitive inhibitors in pancreatic models’, ‘clinical trials for rare pancreatic cancers targeted therapy’. Te zapytania są rozproszone, mieszane z szumem (zapytaniami o zupełnie inne kinazy), a ich sekwencja nie układa się w spójną historię. Efekt mozaiki zostaje rozbity.

Ile to jest warte? Liczby z pilotaży i szacunki

Koszt wprowadzenia nowego leku na rynek przekracza średnio 2,6 miliarda dolarów, a utrata pierwszeństwa rynkowego przez wyciek IP może oznaczać stratę setek milionów. Z moich rozmów z menedżerami ds. własności intelektualnej wynika, że samo podejrzenie wycieku celu terapeutycznego potrafi opóźnić zgłoszenie patentowe o kilka miesięcy, co w wyścigu o pierwszeństwo jest zabójcze. Wdrożenie PA-DR w istniejącym agencie badawczym to koszt rzędu 100-200 tysięcy dolarów na integrację i dostrojenie klasyfikatora na własnych danych. Przy budżecie projektu discovery na poziomie 50-100 milionów to ułamek procenta.

Liczby z paperu są obiecujące: redukcja wycieku z 34% do 9,9% przy jednoczesnym wzroście dokładności. Ale prawdziwy test to pilotaż na własnych, historycznych danych. Warto wziąć zestaw zapytań z zakończonego projektu, przepuścić przez adversary LLM i sprawdzić, ile da się wywnioskować. Jeśli wynik przekracza 20%, macie problem, który PA-DR może rozwiązać.

Od czego zacząć

Nie radzę wrzucać od razu wszystkich projektów do nowego frameworka. Zacznijcie od jednego, najbardziej wrażliwego programu. Zbierzcie logi zapytań agenta z ostatnich trzech miesięcy i dajcie je do analizy zespołowi bezpieczeństwa. Jeśli okaże się, że efekt mozaiki jest realny, wdrożenie PA-DR z klasyfikatorem trenowanym na waszych danych zajmie około 6-8 tygodni. Kluczowe jest, aby klasyfikator uczył się na rzeczywistych zapytaniach z waszego pipeline’u, a nie na ogólnych zbiorach. Tylko wtedy będzie odróżniał bezpieczne ogólniki od zdradzieckich szczegółów.

• Ochrona celu terapeutycznego przed konkurencją
• Redukcja ryzyka utraty własności intelektualnej
• Zwiększenie dokładności badań literaturowych

Artykuł wygenerowany ze wsparciem sztucznej inteligencji.