你以为用小号发帖就安全了?一项新研究告诉你:LLM 可以通过分析你的匿名帖子,推断出你是谁。
这不是科幻,是已经发表的论文。研究者在 Hacker News、Reddit、LinkedIn 等平台上做了实验,结果相当惊人。
研究怎么做的
研究团队设计了一个巧妙的实验:
- 找到那些在 Hacker News 上公开链接了 LinkedIn 的用户
- 把 HN 账号的所有直接身份信息删掉(名字、链接等)
- 让 LLM 仅凭匿名后的帖子内容,去 LinkedIn 上找到对应的真人
结果?大部分账号都被成功识别了。
方法也不复杂:先用 embedding 搜索缩小范围到 100 个候选人,然后让 LLM 推理验证,选出最可能的那个。
为什么这能行
你可能觉得:我又没说我叫什么,怎么可能被认出来?
问题在于,你发的每一条信息都在缩小范围:
- 你提到住在某个城市
- 你说自己是做某个行业的
- 你参加过某个会议
- 你有某个小众爱好
单独看,这些都不算什么。但组合起来,就是一个独特的指纹。
研究者做了个比喻:问问自己,一个聪明的调查团队能不能从你的帖子里推断出你是谁?如果能,LLM 也能,而且成本越来越低。
规模化的可怕之处
以前要人肉搜索一个人,需要人工一条条看帖子、搜信息、做推理。费时费力,所以只有"值得"的目标才会被盯上。
但 LLM 改变了这个等式。
研究者测试了候选池从几百人扩展到几万人的情况,发现 LLM 的准确率下降得很平缓。这意味着:只要有足够的算力,这种方法可以扩展到整个平台的用户。
而且随着模型越来越强、成本越来越低,这只会变得更容易。
真实案例:Anthropic 访谈数据集
Anthropic 之前发布过一个数据集,包含对科学家的匿名访谈。研究者用他们的方法测试,成功识别出了 125 人中的 9 人。
这还是在没有任何直接身份信息的情况下,纯靠访谈内容推断的。
怎么保护自己
研究者给了几个建议:
对个人
- 假设你的匿名账号可以被关联到真实身份
- 每分享一条具体信息前想想:这会不会缩小"我是谁"的范围
- 特别注意那些组合起来很独特的信息(城市 + 行业 + 爱好)
对平台
- 限制 API 访问和批量数据导出
- 检测自动化爬虫
- 假设用户的匿名账号可以被跨平台关联
对 AI 公司
说实话,这块比较难。研究者指出,去匿名化的每一步看起来都像正常使用:
- 总结用户资料 → 正常
- 计算 embedding → 正常
- 排序候选人 → 正常
单独看都没问题,组合起来就是去匿名化攻击。而且开源模型根本没有使用监控,安全护栏也可以被绕过。
我的看法
这篇研究让我想到一个问题:我们对"匿名"的理解可能已经过时了。
以前,匿名 = 没人知道你是谁。现在,匿名 = 暂时没人花精力去查你是谁。
区别在于成本。当 LLM 把去匿名化的成本降到接近零,"匿名"的含义就变了。
这不是说要放弃隐私,而是要更现实地评估风险。如果你在网上说的话可能被关联到真实身份,那在发之前多想一秒。