文章总结： 研究显示大型语言模型能以68%召回率和90%精确度大规模识别社交媒体化名用户，远超传统去匿名化方法。该技术通过分析用户跨平台内容关联真实身份，对网络隐私构成严重威胁。建议平台实施API速率限制、检测自动化抓取行为，用户可定期删除帖子以减少风险。 综合评分： 85 文章分类： 数据安全,AI安全,隐私保护,威胁情报,社会工程学

大型语言模型能够以惊人的准确度大规模识别化名用户

原创

arstechnica arstechnica

安全行者老霍

2026年4月11日 09:02 日本

在小说阅读器读本章

去阅读

作者：DAN GOODIN

发布时间：2026年3月3日

匿名身份在保护隐私方面从来都不是完美的。很快，它可能就变得毫无意义了。

研究人员表示，通过分析社交媒体上的临时账号，并利用人工智能识别发布内容的化名用户，这一研究对互联网隐私产生了深远影响。

这一发现来自一篇近期发表的研究论文，其依据是跨多个社交媒体平台将特定个人与账号或帖子进行关联的实验结果。其成功率远高于现有的传统去匿名化工作–后者依赖人工整理适合算法匹配的结构化数据集，或由经验丰富的调查人员进行人工操作。召回率（即成功去匿名化的用户比例）高达68%。精确率（即正确识别用户的猜测率）则高达90%。

1. 我知道你去年在网上发过的内容

这一发现可能颠覆“化名”–这种虽不完美但通常足够有效的隐私保护措施，常被人们用于发布提问或参与有时涉及敏感话题的公开讨论，同时让他人难以确切识别发言者。能够低成本、快速地识别这些隐匿账号背后的真实身份，将使这些用户面临“人肉搜索”、跟踪骚扰，以及被构建详细营销档案的风险，这些档案会追踪发言者的居住地、职业及其他个人信息。这种化名机制已不再有效。

“我们的研究结果对网络隐私具有重大影响，”研究人员写道。“普通网民长期以来都处于一种隐含的威胁模型之下，他们一直认为化名能提供充分保护，因为针对性的去匿名化需要付出巨大努力。而大型语言模型（LLMs）使这一假设不再成立。”

研究人员从公开的社交媒体网站收集了多个数据集，在保护发言者隐私的同时测试了这些技术。其中一个数据集收集了Hacker News上的帖子和LinkedIn个人资料，随后利用用户资料中出现的跨平台引用将它们关联起来。接着，他们从帖子中剥离了所有可识别身份的引用，并使用大型语言模型对其进行分析。第二个数据集来自Netflix发布的微身份数据，包括个人偏好、推荐记录和交易记录。一篇2008年的研究论文表明，利用后来被称为“Netflix大奖攻击”的方法，该数据集能够识别用户身份，并确定其政治倾向及其他个人信息。最后一种技术则拆分了单个用户的Reddit浏览历史。

“我们的发现是，这些AI智能体能够完成此前非常困难的任务：从自由文本（如匿名化的访谈记录）出发，逐步推导出一个人的完整身份，”该论文的合著者Simon Lermen告诉Ars。“这是一项相当新的能力；以往的重新识别方法通常需要结构化数据，以及两个具有相似数据结构且能够相互关联的数据集。”

Lermen指出，与那些较早的去匿名化方法不同，AI智能体能够像人类一样浏览网络并进行交互。它们可以利用模拟推理来匹配潜在的个体。在一项实验中，研究人员分析了Anthropic公司关于人们如何在日常生活中使用AI的问卷调查中的回答。利用从回答中提取的信息，研究人员成功识别出了125名参与者中的7%。

尽管7%的识别率相对较低，但这表明人工智能根据用户提供的非常笼统的信息识别个人身份的能力正在不断提升。“人工智能能够做到这一点本身就是一项值得注意的成果，”勒尔曼表示。“随着人工智能系统的不断改进，它们识别身份的能力很可能会越来越强。”

在第二项实验中，研究人员收集了2024年来自r/movies子版块以及以下五个较小社区中至少一个的评论：r/horror、r/MovieSuggestions、r/Letterboxd、r/TrueFilm和r/MovieDetails。结果表明，候选人讨论的电影越多，就越容易被识别。平均而言，分享过一部电影的用户中有3.1%能以90%的精度被识别，其中1.2%的用户能以99%的精度被识别。当分享的电影数量在5至9部时，能被识别的用户比例分别升至8.4%（90%精度）和2.5%（99%精度）。分享超过10部电影时，这一比例进一步跃升至48.1%（90%精度）和17%（99%精度）。

在第三项实验中，研究人员选取了5,000名Reddit用户。研究人员向候选用户池中添加了5,000个Reddit用户的“干扰”身份。研究人员将他们的方法与早期的Netflix大奖赛攻击进行了对比。随后，他们在10,000个候选用户档案列表中加入了5,000个查询干扰项，这些干扰项由仅出现在查询集中、但在候选池中没有真实匹配的用户组成。

与模拟Netflix大奖赛攻击的经典基线相比，基于大语言模型（LLM）的去匿名化方法表现远优于前者。

研究人员写道：

(a) 传统攻击的精确度下降极快，这解释了其较低的召回率。相比之下，基于LLM的攻击在攻击者进行更多猜测时，其精确度衰减更为平缓。

(b) 即使在精确度仅中等偏低的情况下，传统攻击也几乎完全失败。反观基于大语言模型的攻击，即使是最简单的“搜索”方法，在低精度下也能实现显著的召回率；若进一步结合“推理”和“校准”步骤，其99%精度下的召回率将翻倍。

研究结果表明，尽管大语言模型仍存在误报及其他缺陷，但在在线用户识别领域，其性能正迅速超越那些更传统且资源消耗巨大的方法。

研究人员随后提出了相应的缓解措施，包括要求平台对用户数据的API访问实施速率限制、检测自动化抓取行为，以及限制批量数据导出。LLM服务商还可以监控其模型在去匿名化攻击中的滥用情况，并建立防护机制，使模型拒绝去匿名化请求。

当然，另一种选择是人们大幅减少社交媒体的使用，或者至少在达到设定时间阈值后定期删除帖子。

研究人员警告称，如果大语言模型在去匿名化方面的成功率提高，政府可能会利用这些技术揭露网络批评者，企业可能会构建客户画像以进行“超精准广告投放”，而攻击者则可能大规模构建目标画像，从而发起高度个性化的社会工程学诈骗。

“大语言模型能力的近期进步已明确表明，在由大语言模型驱动的网络攻击能力出现后，亟需重新审视计算机安全的各个方面，”研究人员警告道。“我们的研究表明，隐私保护方面很可能也面临同样的情况。”

https://arstechnica.com/security/2026/03/llms-can-unmask-pseudonymous-users-at-scale-with-surprising-accuracy/

（完）w’w’w’w’w’w’w

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 arstechnica arstechnica《大型语言模型能够以惊人的准确度大规模识别化名用户》