本文研究工具增强型语言代理（tool-augmented language agents）中投机性工具调用（speculative tool calls）带来的隐私泄露问题。这类代理为了隐藏延迟，会在未确定最终执行分支前，提前向外部的工具服务发出可能需要的调用。然而，这些投机调用实际上会泄露用户的原始意图信息——即使代理随后放弃该分支，外部服务已经接收并保留了该信息。作者将这种调用称为“鬼影工具调用”（ghost tool calls），并指出问题的核心是时间性而非授权：任何事后清理、只读限制或访问控制列表都无法撤回已发送给观察者的数据。 为解决此问题，作者提出了投机工具隐私契约（Speculative Tool Privacy Contracts, STPC）——一种运行时抽象，将承诺前的观察行为视为与状态变更并列的一等效果。该抽象允许代理在调用前定义隐私策略，控制何时以及如何向外部服务透露参数或目标。作者实现了一个原型运行时，并在三个语料库上评估了十二种策略（包括后验过滤器、只读限制、访问控制白名单和问题时间策略）。实验表明，投机调度会增加观察者对用户意图的推断能力；后验过滤器、只读限制和访问控制白名单均无法消除这种推断；只有那些在调度前改变或抑制投机调用参数或目标投影的问题时间策略（issue-time policies）才能有效降低推断。 主要贡献：（1）首次明确提出并形式化鬼影工具调用问题；（2）提出投机工具隐私契约作为解决方案；（3）通过实验比较多种策略，证明问题时间策略的必要性。本文适合关注 LLM 代理安全与隐私的研究者和工程师阅读。