本文来自微信公众号: 酷玩实验室 ,作者:酷玩实验室
你在互联网上有几个马甲?
豆瓣上一个,用来打分吐槽烂片,知乎上一个,偶尔回答点专业问题装装内行,微博上还有一个,专门发些不想让同事看见的牢骚。
你觉得挺安全的,毕竟名字是编的,头像是随便找的,从来没说过自己住哪儿叫什么。谁会闲着没事来查你呢?就算真要查,翻你几千条帖子做交叉比对,光人工成本就得好几万。(这个数是我瞎猜的)
这个安全感,最近被一篇论文彻底打碎了。
2026年2月,AI大魔王公司Anthropic和瑞士苏黎世联邦理工学院(ETH Zurich)的研究员联合发了一篇论文,标题直白到吓人:《用大语言模型进行大规模线上去匿名化》。(Large-scale online deanonymization with LLMs)
说人话:用AI把网上的匿名用户和真人对上号。
花多少钱呢?1到4美元,一杯美式咖啡的价格。
一、扒掉你的马甲
先说这个实验是怎么做的。
研究团队搭建了一套全自动AI系统,在三组真实数据上做了测试。其中最核心的一组是这样的:他们收集了一批Hacker News(技术领域的资讯网站)的匿名用户帖子,去掉所有明显的身份标识,名字、用户名、链接全删了,然后让AI去互联网上找,看能不能把这些匿名账号和LinkedIn上的真人简历对上。
结果:338个人里,226个被正确识别,召回率67%,精确率约90%。
什么意思呢?AI每认出10个人,大约有9个是认对的。
在同一组数据上,传统的基于结构化数据匹配方法,召回率是0.1%,几乎等于零。
以前,人肉一个匿名用户的过程可能是花好几天翻帖子、查蛛丝马迹、做交叉验证。费时费力,成本极高,所以大部分人觉得自己是安全的。研究人员管这个叫practical obscurity,实际模糊性。翻译成大白话:你之所以安全,只是因为查你不划算。
这篇论文证明了:这个前提已经不存在了。
二、AI是怎么开盒的
你可能会好奇:一个人在网上随便发了些帖子,又没写自己叫什么住哪儿,AI凭什么能锁定他的真实身份?
靠的是所有“微数据”的叠加。
研究人员把AI开盒的过程拆成了四步,然后AI侦探在线拼图:
第一步,提取。AI翻遍你的发帖记录,从那些看似随意的文字里抽取“身份信号”。你提过自己是做生物研究的?记下来!你用了英式拼写analysing而不是美式的analyzing?大概率在英国或英联邦国家。你抱怨孩子秋天要入学了?年龄段和家庭状况也有了。这些零碎信息被整理成一份半结构化的画像档案。
第二步,搜索。把这份画像转化成一组数学向量,然后在几百万个候选人的数据库里跑“最近邻搜索”,本质上和你用搜索引擎找相似文档是同一套技术。AI从茫茫人海中筛出一批看起来像的候选人。
第三步,推理。这一步最关键。AI把匿名账号的画像和候选人的公开信息摆在一起,开始推理:两个人都提过同一个冷门学术会议?都对某个小众导演有独到见解?用词习惯高度相似?传统方法走到这步就彻底断片了,规则系统没法理解“两个人在不同帖子里都用屋顶场景聊甜茶(Timothée Chalamet)”意味着什么。大语言模型可以。
第四步,校准。AI给每个匹配结果打一个置信度分数。不确定的,不出手,这保证了较低的误判率。
四步走完,每一步单独拎出来看,都像是完全正常的、合法的AI功能:总结文本、语义搜索、内容比对、可信度评分。没有任何一步是在做坏事,但四步一串,开盒流水线就转起来了。
研究者之一Daniel Paleka在采访里说了一句让人印象很深的话:“如果你的安全依赖于'没人会花几小时来调查我',那么这个模式现在已经崩了。”
图|流程大致如此
三、你聊过的电影越多,越容易被认出来
上面的实验听着可能离自己太远,毕竟不是每个人都同时有Hacker News和LinkedIn账号,研究团队还做了几组更有日常感的测试。
比如Reddit电影社区实验,研究人员从r/movies和几个相关子版块收集了用户的发帖记录,然后测试AI能否把分散在不同板块的账号关联起来。
结果发现,能不能认出你,跟你聊过几部电影强相关:
只提过1部电影的用户,3.1%的概率被识别(90%精度下)
提过5到9部的,8.4%
提过10部以上的,48.1%
将近一半,你只是在不同的版块聊了聊喜欢的电影,AI就能把你的小号全串起来。
以及Anthropic访谈实验。这组更夸张,Anthropic之前做过一次内部问卷,问员工和外部参与者平时怎么用AI工具,研究人员拿到了125份匿名回答,然后让AI试着根据回答内容去互联网上找到真人。
结果:9个人被成功识别。
其中一个案例很有代表性。某位受访者在问卷里提到“我在生物学领域工作,研究方向是某某课题”“我的背景是物理学”“我和导师最近在讨论分析某种现象的影响”。就这些信息,AI先锁定了一个在英国某大学读博的学生,然后通过GitHub仓库和bioRxiv预印本上的记录交叉验证。对上了。
图|一个非常严谨且有效的AI开盒测试案例
7%的识别率听起来不高,但这些人既没发帖,也没上社交媒体,只是在一份匿名问卷里随口聊了聊工作,然后就被盯上了。
论文合著者Simon Lermen说:
“以前的方法需要结构化数据,两个格式相似的数据集才能互相匹配。现在AI可以直接从自由文本开始,一路查到你是谁。这是一种全新的能力。”
四、为什么安全护栏拦不住
看到这里你可能会想:AI公司不是都在搞安全对齐吗?给模型加护栏、设拒答规则,不让它干坏事,不就行了?
这恰恰是这篇论文最让人不安的地方。
它证明了一件事:任务分解可以绕过几乎所有护栏。
你直接问一个AI大模型“帮我扒一下这个用户是谁”,它大概率会拒绝你,但你把这个任务拆开呢?
“帮我总结一下这段文字里提到的关键信息”,正常需求,通过。
“帮我把这些信息转成向量嵌入”,技术操作,通过。
“帮我在这500个候选人里排个序”,推荐系统常用功能,通过。
“帮我评估一下这两个人是不是同一个人”,文本比对,通过。
每一步都无害,四步连起来,就是一次完整的开盒攻击。
光靠AI公司给模型上锁,锁不住这条路,你没法禁止文本摘要,没法禁止语义搜索,没法禁止相似度排序,这些是大语言模型最基础的能力。
2008年,有过一个轰动一时的案例。Netflix公开了一批用户的匿名观影记录,本意是办一个算法竞赛,两个研究者用这些数据交叉比对了IMDb的公开评论,成功识别了真人身份,还能看出他们的政治倾向。
但那次,攻击者需要两个格式相近的结构化数据集。现在呢?随便什么文字都行,你发的豆瓣短评、知乎回答、微博吐槽、贴吧水帖,任何自由文本都是攻击面。
电子前线基金会(EFF)的高级技术专家Jacob Hoffman-Andrews说:“大语言模型工作快,而且不会感到无聊。这让它们成了理想的互联网侦探。”
顺带一提,在这项研究公布的前一个月,马斯克旗下xAI的聊天机器人Grok刚刚闹出了一件事:一位用了12年艺名的美国成人内容创作者Siri Dahl,被Grok在一次普通对话中直接吐出了真名和家庭住址。她随后在社交媒体上发帖称,自己的隐私信息被其他AI爬虫二次传播,“散布到了整个互联网”。
论文里讲的是学术实验。现实里,它已经在发生了。
五、然后呢?
所以普通人该怎么办?
论文的合著者们给了一些务实的建议:
对平台来说,最有效的短期措施是限制数据获取,给API加频率限制、检测自动爬虫、限制批量数据导出。这不能消灭威胁,但能把大规模攻击的成本拉回去。
对AI服务商来说,单个请求层面的拒答策略意义有限,更有价值的是监控API调用的模式,一个用户先调用摘要接口、再调用嵌入接口、再调用排序接口,这个序列本身就是信号。
对个人来说,合著者Joshua Swanson的建议是:如果要发真正敏感的内容,用全新账号。并且要意识到,暴露你身份的从来不是某一条帖子,而是你所有帖子里那些细节的组合。不同平台用不同的风格、不同的兴趣标签、不同的表达习惯。把维护匿名身份当成一个真正的安全工程问题来对待,不是换个用户名就完事了。
当然,还有最简单粗暴的一招:少发,或者定期删帖。
论文的最后写了这样一段话(大概是这么个意思):
“过去保护匿名用户主要靠'查你太麻烦',现在这大概已经不管用了。用固定ID发帖的人,应该默认自己的账号随时可能被人和真实身份对上号,而且你每多发一条帖子,被认出来的概率就多涨一分。”
研究人员补充说,他们出于伦理考量,刻意没有对真正试图保护隐私的高敏感人群做测试,也故意隐去了部分技术细节以防止被直接滥用。但他们发出了警告:随着大模型能力持续提升,这种攻击只会越来越容易、越来越便宜。
说到底,互联网匿名从来就不是一种权利,也不是谁精心设计的结果,它只是一个副产品,一个因为人力成本太高而侥幸存在的灰色空间。
AI正在把这个成本打到4美元。
这个灰色空间,可能正在被消解。