将隐私保护加入到AI技术激增可能造成损失的清单中吧,因为研究人员发现,大语言模型可以比人类调查员更高效地去匿名化网络用户,即使是那些使用假名的用户。
过去25年关于网络隐私的大部分学术研究都建立在Latanya Sweeney 2002年关于k-匿名性的研究基础上,以及她之前证明可以使用三个匿名数据点——五位数邮政编码、性别和出生日期来识别87%美国人口的研究。
从匿名数据中识别个人身份的可能性成为了在线广告和网页浏览器中使用cookie的核心担忧之一。
这种风险并没有消失,现在看起来更加严重,因为大语言模型可以自动化地连接网络帖子中的线索,从而指向可能的来源。
MATS研究所的AI工程师Simon Lermen表示:"我们证明了大语言模型智能体可以从你的匿名在线帖子中找出你的身份。"他是一篇题为"大语言模型大规模在线去匿名化"的预印本论文的通讯作者之一。
Lermen在一篇在线帖子中解释道:"在Hacker News、Reddit、LinkedIn和匿名化访谈记录中,我们的方法能够高精度地识别用户,并且可以扩展到数万个候选者。"
研究人员观察到,虽然长期以来人们就知道可以仅使用几个数据点来识别个人,但这样做往往不切实际。这些数据通常以非结构化形式存在,人类调查员需要付出相当大的努力来收集足够的片段来解决身份谜题。
Lermen和他的合著者声称,大语言模型加速并自动化了这一过程,而且成本可承受。
他们在论文中表示:"我们证明大语言模型从根本上改变了这种计算方式,实现了能够大规模处理非结构化文本的全自动去匿名化攻击。以前的方法需要预定义的特征模式、仔细的数据对齐和人工验证,而大语言模型可以从任意文本中提取与身份相关的信号,高效地搜索数百万个候选档案,并推断两个账户是否属于同一个人。"
在一项实验中,作者收集了338名Hacker News用户,这些用户的简历链接到LinkedIn档案。他们这样做是为了建立研究对象的真实身份,以便检验大语言模型的预测——这也是为了避免在研究中真正去匿名化人们所带来的伦理问题。
接下来,他们基于这些用户的评论和发布的故事创建了结构化的数据档案。然后他们创建了一个搜索提示,将其匿名化,并传递给AI智能体。智能体继续正确识别了338个目标中的226个,在90%精确度下成功率为67%(有25个错误识别和86个模型未提供预测的弃权)。
作者使用的技术并不是通用的隐私溶解剂——它只在某些时候成功。但它成功的频率足以让那些在网上使用假名账户发帖的人不应该假设他们的身份会保持未知。
运行成本也很便宜。研究人员报告他们的整个实验花费约2000美元,每个档案的估计成本在1到4美元之间。
谁会这么做?作者建议政府可以使用这种技术来针对记者或活动人士,企业可以挖掘论坛来建立高度针对性的广告档案,在线攻击者可以开发详细的个人档案来使社会工程诈骗更具可信度。
Lermen认为网民因此需要考虑他们分享的每个数据点如何帮助识别他们。
"这种组合通常是一个独特的指纹,"他说。"问问你自己:一队聪明的调查员能从你的帖子中找出你是谁吗?如果是的话,大语言模型智能体很可能也能做到同样的事情,而且这样做的成本只会越来越低。"
Lermen的合著者包括Daniel Paleka(苏黎世联邦理工学院)、Joshua Swanson(苏黎世联邦理工学院)、Michael Aerni(苏黎世联邦理工学院)、Nicholas Carlini(Anthropic)和Florian Tramèr(苏黎世联邦理工学院)。
Q&A
Q1:大语言模型如何实现用户去匿名化?
A:大语言模型可以从用户的匿名在线帖子中提取与身份相关的信号,自动分析非结构化文本,高效搜索数百万个候选档案,并推断不同账户是否属于同一个人。它们能够连接网络帖子中的各种线索,自动化地指向可能的身份来源。
Q2:这种去匿名化技术的成功率有多高?
A:研究实验显示,在338个测试目标中,AI智能体正确识别了226个,成功率为67%,精确度达到90%。虽然不是100%成功,但这个成功率足以让使用假名账户的用户担心身份暴露。
Q3:进行大规模去匿名化攻击需要多少成本?
A:研究人员报告整个实验花费约2000美元,每个用户档案的估计成本在1到4美元之间。这种低成本使得大规模去匿名化攻击变得经济可行,政府、企业或恶意攻击者都可能利用这种技术。