CIMemories: A Compositional Benchmark for Contextual Integrity of Persistent Memory in LLMs

Perché “CIMemories” è un paper da ricordare

CIMemories introduce un nuovo benchmark pensato per valutare se i Large Language Models con memoria persistente rispettano la privacy contestuale quando riutilizzano ciò che ricordano sugli utenti.
L’idea centrale è misurare se il modello sa quando certe informazioni personali sono appropriate in un contesto e inappropriate in un altro, invece di valutare solo la capacità di ricordare o dimenticare.

Gli autori costruiscono profili utente sintetici molto ricchi (oltre 100 attributi per utente) e li combinano con tanti “task” diversi, in cui alcuni attributi dovrebbero essere condivisi e altri assolutamente no.
Su questo benchmark, i modelli di punta mostrano tassi di violazione notevoli: le violazioni a livello di singolo attributo vanno da circa (15%) per modelli come GPT-4o fino a circa (69%) per modelli più deboli come Qwen-3 32B, evidenziando che la privacy contestuale è ancora lontana dall’essere risolta.

Il lavoro è interessante perché mette a fuoco il conflitto tra helpfulness e rispetto della privacy: più il modello è “utile” e loquace, più tende a violare la contextual integrity.
Inoltre mostra che, man mano che la memoria accumula dati personali nel tempo, il rischio di violazioni cresce sistematicamente, ponendo questioni serie per l’uso di LLM con memoria persistente in applicazioni reali.

Paper, facebook/CIMemories Dataset

Indice

• Perché “CIMemories” è un paper da ricordare
• Dentro il laboratorio di CIMemories: come funziona il benchmark
  • Profili sintetici ultra-dettagliati
  • Task e contesti sociali
  • Etichette di privacy tramite LLM e “privacy personas”
  • Metriche: violazione e completezza
• Cosa ci dicono davvero i risultati di CIMemories
  • Frontier models sotto stress di privacy
  • Effetto della composizione della memoria
  • Prompt “più prudenti” non risolvono il problema
• Concetti chiave da dominare per leggere il paper
  • Contextual integrity applicata agli LLM
  • Persistent memory e sistemi memory-augmented
  • Attributi, contesti e personas
  • Violation, completeness e privacy-utility trade-off
• Quiz su CIMemories: metti alla prova la tua comprensione
  • Domande
  • Risposte (da usare per auto-valutazione)
• Studi “fratelli” di CIMemories: cosa leggere dopo
  • MemBench e MemoryBench: valutare quanto bene gli LLM ricordano
  • Rethinking Memory in AI e MemOS: panoramiche ad ampio raggio
  • Benchmarks focalizzati su privacy e integrity
• Riferimenti e link utili

Dentro il laboratorio di CIMemories: come funziona il benchmark

Profili sintetici ultra-dettagliati

Gli autori generano profili di adulti sintetici (età tra 21 e 70 anni) usando uno strumento di generazione di identità come FAKER, ottenendo utenti fittizi ma realistici con centinaia di dettagli personali.
Ogni profilo contiene in media circa 147 attributi, che spaziano da dati banali (hobby, lavoro) a informazioni altamente sensibili (salute mentale, orientamento, abitudini finanziarie).

Nel benchmark finale ci sono 10 profili, ognuno con questo grande numero di attributi, il che rende la memoria del modello densa e potenzialmente pericolosa se usata in modo ingenuo.
Questa ricchezza di attributi consente di simulare scenari dove il modello potrebbe essere tentato di condividere troppo, perché “sa” molte cose sulla stessa persona.

Task e contesti sociali

Per ogni profilo, CIMemories definisce diversi task che rappresentano contesti sociali differenti, come assistenza medica, consigli finanziari, supporto lavorativo o conversation di tipo più personale.
Ogni contesto definisce implicitamente quali attributi sono necessari da menzionare per svolgere bene il compito e quali invece sarebbero fuori luogo o invasivi.

In media ogni profilo è valutato su circa 45 contesti, creando un grande spazio di combinazioni tra attributi personali e situazioni d’uso.
Per ciascun contesto, gli autori distinguono attributi da condividere (necessary) e attributi da non condividere (inappropriate), arrivando a circa 7 attributi necessari e 83 inappropriati per contesto in media.

Etichette di privacy tramite LLM e “privacy personas”

Un problema pratico enorme è etichettare tutte le coppie attributo-contesto con giudizi di appropriatezza, cosa che sarebbe troppo costosa con solo annotatori umani.
CIMemories risolve questo punto sfruttando un LLM molto potente (GPT-OSS-120B) per generare le etichette, guidato da tre diverse “privacy personas” ispirate ai sondaggi di Westin: privacy fundamentalist, privacy pragmatic e privacy unconcerned.

Per ogni coppia attributo-contesto, il modello viene interrogato più volte, assumendo ogni volta una persona diversa, in modo da campionare prospettive diverse su cosa sia appropriato rivelare.
L’etichetta finale viene assegnata solo quando tutte le personas sono d’accordo, così da avere un “ground truth” più stabile che tenga conto della soggettività delle norme di privacy senza dipendere da un singolo giudizio.

Metriche: violazione e completezza

Per valutare il comportamento dei modelli, gli autori definiscono due misure complementari: violation (quanto spesso il modello rivela attributi inappropriati) e completeness (quanto spesso menziona gli attributi necessari).
Queste metriche vengono calcolate a livello di attributo, considerando se il modello in almeno una risposta rivela qualcosa che non dovrebbe, o se al contrario omette sistematicamente informazioni che dovrebbero essere presenti.

La violazione è interpretata come una sorta di “worst case” per ogni attributo: se anche una sola volta viene rivelato in un contesto sbagliato, quell’attributo viene considerato violato per quel modello.
La completezza invece misura se l’attributo viene correttamente utilizzato nei contesti dove è essenziale, così da non premiare modelli che “rispettano la privacy” semplicemente tacendo su tutto.

Cosa ci dicono davvero i risultati di CIMemories

Frontier models sotto stress di privacy

Gli esperimenti mostrano che i modelli di frontiera, pur essendo molto performanti su tanti benchmark standard, faticano a rispettare la contextual integrity in scenari con memoria persistente.
Sui profili e contesti di CIMemories, la violazione a livello di attributo varia molto tra i modelli, passando da circa (14\%)-(15\%) per GPT-4o a circa (69\%) per modelli più piccoli come Qwen-3 32B.

Questo significa che, nonostante le capacità impressionanti di ragionamento e personalizzazione, anche i migliori LLM rivelano una quantità non trascurabile di dettagli che non dovrebbero mai emergere in certi task.
In altre parole, il modello tende a “mostrare” ciò che ricorda, anche quando il contesto sociale non lo giustifica.

Effetto della composizione della memoria

Un elemento chiave del benchmark è la memory composition, cioè il fatto che il numero e il tipo di attributi memorizzati possono variare da scenario a scenario.
Gli autori studiano come cambiano le violazioni quando si aggiungono o rimuovono attributi dalla memoria, permettendo di vedere come l’aumento della ricchezza informativa influenza il rischio di leak.

I risultati indicano che, man mano che gli utenti accumulano più informazioni personali nel tempo, le violazioni di contextual integrity tendono ad aumentare in modo sistematico.
Questo suggerisce un conflitto strutturale: la stessa memoria che rende il sistema più personalizzato e “intelligente” lo rende anche più pericoloso sul piano della privacy.

Prompt “più prudenti” non risolvono il problema

Gli autori testano anche tre prompt diversi con linguaggio via via più conservativo, chiedendo al modello di essere esplicitamente cauto sul tema privacy.
Questi prompt vengono usati, ad esempio, con un modello di fascia alta (citato come GPT-5) per vedere se cambiano il bilanciamento tra violazione e completezza.

I grafici mostrano un chiaro trade-off: ridurre la violazione abbassa anche la completezza, perché il modello diventa generico e meno disposto a usare anche gli attributi che sarebbero effettivamente necessari.
In pratica, chiedere al modello di “parlare poco” non produce una vera comprensione della contextual integrity, ma solo una riduzione globale della verbosità.

Concetti chiave da dominare per leggere il paper

Contextual integrity applicata agli LLM

La contextual integrity nasce dall’idea che la privacy non sia solo “segretezza”, ma rispetto delle norme implicite su chi può sapere cosa e in quale contesto.
In CIMemories questo si concretizza nel decidere se un certo attributo (es. dettagli di salute mentale) è appropriato da menzionare in un task clinico, ma inappropriato in un task di recruiting o supporto generico.

Capire il paper richiede di pensare alla privacy come a un insieme di regole dipendenti dal ruolo, dal fine della conversazione e dalle aspettative sociali dell’utente.
Un LLM che rispetta la contextual integrity non solo evita leak “ovvi”, ma capisce le sfumature tra contesti simili ma non identici.

Persistent memory e sistemi memory-augmented

Molti sistemi moderni integrano LLM con memorie esterne che memorizzano interazioni passate per migliorare la personalizzazione, andando oltre la semplice context window a singola sessione.
Queste memorie possono essere strutturate (database, knowledge base) o non strutturate (log di chat, note riassuntive), e vengono lette e aggiornate nel tempo.

In CIMemories la memoria è pensata come una collezione di attributi personali persistenti, che vengono richiamati in contesti successivi e nuovi.
Per leggere il paper in profondità è importante distinguere tra parametric memory (nei pesi del modello) e contextual memory esterna, che qui è l’oggetto principale di analisi.

Attributi, contesti e personas

Tre parole chiave del paper sono attribute, context e persona.
Gli attributi sono pezzi di informazione su un utente (es. condizioni mediche, carriera, famiglia, preferenze) che possono essere in memoria.

I contesti sono i task o situazioni in cui il modello deve rispondere, e definiscono implicitamente quali attributi è giusto portare in superficie.
Le personas di privacy rappresentano diversi stili di giudizio sulle norme di condivisione, usati per rendere più robusta la generazione delle etichette di ground truth.

Violation, completeness e privacy-utility trade-off

Violation misura quanto il modello viola la contextual integrity rivelando attributi marcati come inappropriate in un certo task.
Complete ness misura se il modello riesce comunque a usare correttamente gli attributi necessari, evitando di essere troppo vago o evasivo.

Il paper mette in luce un trade-off molto simile a quello classico tra privacy e utility: ridurre la violazione spesso implica sacrificare completezza, e viceversa.
Per i vostri progetti di master, questo suggerisce che non basta “attaccare un filtro” alla fine, ma bisogna progettare pipeline e memorie tenendo conto di questo equilibrio fin dall’inizio.

Quiz su CIMemories: metti alla prova la tua comprensione

Domande

• Qual è l’obiettivo principale del benchmark CIMemories rispetto ai classici benchmark di memoria per LLM.
• Perché gli autori usano profili sintetici invece di dati reali di utenti.
• Che ruolo hanno le tre privacy personas nella costruzione delle etichette di ground truth.
• Cosa misura la metrica di violation e in che cosa è diversa dalla semplice “memorization”.
• Perché aumentare la quantità di informazioni memorizzate sull’utente può aumentare le violazioni di contextual integrity.
• In che modo il linguaggio più conservativo nel prompt influenza violation e completeness.
• Qual è la differenza concettuale tra CIMemories e benchmark come MemBench o MemoryBench.

Risposte (da usare per auto-valutazione)

• CIMemories vuole misurare se il modello sa controllare il flusso di informazioni dalla memoria in base al contesto sociale, non solo se sa ricordare correttamente fatti passati.
• I profili sintetici permettono di avere dati ricchi e realistici senza rischi di violare la privacy reale, e consentono di annotare attributi molto sensibili che non sarebbe etico raccogliere da persone vere.
• Le privacy personas forniscono tre punti di vista diversi sulle norme di condivisione; un’etichetta viene accettata solo quando tutte concordano, rendendo il ground truth più robusto e meno arbitrario.
• Violation misura quante volte il modello rivela attributi marcati come inappropriate in un certo contesto, mentre la memorization riguarda solo il fatto che il modello ricordi o meno una certa informazione.
• Più attributi sono presenti in memoria, più aumentano le opportunità per il modello di menzionare dettagli in contesti non appropriati, quindi cresce la probabilità di leak.
• Un prompt più conservativo tende a ridurre sia la violation sia la completeness, perché il modello diventa meno disposto a usare la memoria in generale, anche quando sarebbe utile.
• Benchmark come MemBench o MemoryBench si concentrano soprattutto sulla capacità degli agenti LLM di ricordare, aggiornare e usare la memoria per la performance di task multi-step, mentre CIMemories è focalizzato in modo esplicito sulla dimensione normativa della contextual integrity e sul rischio di violazioni di privacy.

Studi “fratelli” di CIMemories: cosa leggere dopo

MemBench e MemoryBench: valutare quanto bene gli LLM ricordano

MemBench (“Towards More Comprehensive Evaluation on the Memory of LLM-based Agents”) propone un benchmark per valutare in modo sistematico la memoria di agenti basati su LLM in compiti complessi e multi-passo.
Qui l’attenzione è sulla capacità di mantenere e richiamare informazioni nel tempo per eseguire correttamente i task, più che sulla valutazione di norme di privacy contestuale.

Un lavoro correlato chiamato MemoryBench (in OpenReview) si muove su una linea simile, cercando di misurare vari aspetti della memoria di sistemi LLM, come la durata, l’affidabilità e la capacità di gestire molti fatti diversi.
Questi benchmark sono quindi complementari a CIMemories: misurano “quanto” e “come” il modello ricorda, ma non “se dovrebbe” ricordare e usare certe informazioni in un contesto specifico.

Rethinking Memory in AI e MemOS: panoramiche ad ampio raggio

Il survey “Rethinking Memory in AI: Taxonomy, Operations, Topics, and Future Directions” propone una tassonomia delle varie forme di memoria in AI, distinguendo tra memorie parametriche, contestuali strutturate e non strutturate, e discutendo operazioni come consolidamento, aggiornamento, indicizzazione, retrieval e forgetting.
Questo lavoro offre un quadro concettuale utile per collocare CIMemories all’interno dell’ecosistema più ampio dei sistemi memory-augmented, chiarendo che il benchmark si focalizza soprattutto sulla memoria contestuale di lungo termine.

Un altro contributo correlato è MemOS, che propone un “memory operating system” per LLM, ossia un framework per gestire memoria come risorsa di sistema, con obiettivi di controllabilità, plasticità ed evolvibilità.
Mentre MemOS enfatizza l’architettura e la gestione operativa della memoria, CIMemories offre un modo per valutare se un sistema così progettato rispetterebbe anche le norme di contextual integrity.

Benchmarks focalizzati su privacy e integrity

ConfAIde è un benchmark che studia le implicazioni di privacy in fase di inference per LLM in contesti interattivi, valutando come e quanto i modelli possono esporre informazioni sensibili in diversi scenari.
Rispetto a CIMemories, ConfAIde è meno centrato sulla memoria persistente multi-sessione e più sull’uso sicuro del modello in singole interazioni, ma condivide l’attenzione alla dimensione di privacy.

Esistono anche benchmark per la episodic memory degli LLM, come il framework di synthetic episodic-memory-benchmark, che generano dati sintetici per misurare quanto bene i modelli sanno codificare, memorizzare e richiamare eventi narrativi nel tempo.
Questi dataset aiutano a capire la qualità della memoria episodica del modello, mentre CIMemories sposta il focus su come questa memoria interagisce con le norme sociali di condivisione.

Riferimenti e link utili

• [2511.14937] CIMemories: A Compositional Benchmark for Contextual Integrity of Persistent Memory in LLMs
• Articolo
• Articolo
• Articolo
• Articolo
• Articolo
• MemBench: Towards More Comprehensive Evaluation on the Memory of LLM-based Agents
• Articolo
• GitHub – skywalker023/confaide: 🤫 Code and benchmark for our ICLR 2024 spotlight paper: “Can LLMs Keep a Secret? Testing Privacy Implications of Language Models via Contextual Integrity Theory”
• GitHub – ahstat/episodic-memory-benchmark: Synthetic data generation and benchmark implementation for “Episodic Memories Generation and Evaluation Benchmark for Large Language Models” [ICLR 2025]
• GitHub – WailordHe/cv-arxiv-daily-wailord: 🎓Automatically Update CV Papers Daily using Github Actions (Update Every 12th hours)
• Memos:: A Memory Os For Ai System | PDF | Memory | Information
• Rethinking Memory in AI: Taxonomy, Operations, Topics, and Future Directions | PDF | Memory | Information
• [1801.10437] Deep Learning Works in Practice. But Does it Work in Theory?
• View article
• [2508.10666] Deep Learning in Classical and Quantum Physics
• [1706.02714] Deep-Learning the Landscape
• [1703.06114] Deep Sets
• arxiv-daily/README.md at main · yyyanbj/arxiv-daily · GitHub
• [2309.16620] Depthwise Hyperparameter Transfer in Residual Networks: Dynamics and Scaling Limit
• Articolo
• GitHub – DWCTOD/cv-arxiv-daily
• [1710.05468] Generalization in Deep Learning
• GitHub – BaiShuanghao/my_arXiv_daily
• [2306.08348] Generative deep-learning reveals collective variables of Fermionic systems
• Computer Science
• [2307.06092] Quantitative CLTs in Deep Neural Networks
• Machine Learning
• [1806.11379] Theory IIIb: Generalization in Deep Networks
• cv-arxiv-daily/README.md at main · chaowentao/cv-arxiv-daily · GitHub
• my_arXiv_daily/docs/cv-arxiv-daily.json at main · BaiShuanghao/my_arXiv_daily · GitHub
• Machine Learning
• huggingface – Hugging Face applying Transformation on nested to datasets without loading into memory – Stack Overflow
• Create a dataset
• Integrating MinIO with Hugging Face Datasets
• StevenACoffman’s gists · GitHub
• Memories-ai/UGC-VideoCap · Datasets at Hugging Face
• Memory Is All You Need: An Overview of Compute-in-Memory Architectures for Accelerating Large Language Model Inference
• Datasets