ИИ деанонимизирует пользователей интернета за пару долларов и несколько минут → Блог → 3000+ AI нейросетей на одном сайте

Исследователи из ETH Zurich и Anthropic провели эксперимент, который многим не понравится: они показали, что вычислить реального человека за анонимным ником теперь можно за $1-4 и несколько минут работы ИИ.

Да, мы все понимали, что теоретически нас можно деанонимизировать. Но утешались мыслью, что это слишком трудоёмко и никому не нужно. Похоже, это утешение больше не работает.

Схема процесса деанонимизации пользователя с помощью ИИ, включающая транскрипцию, создание профиля и идентификацию.

Суть не в том, что ИИ умнее человека-аналитика. Он ловит те же зацепки: профессиональные детали, интересы, случайные упоминания о месте жительства. Просто то, на что у человека уйдут часы, языковая модель делает за минуты. И это меняет всё.

В центральном эксперименте ИИ-агент получал только краткую выжимку из анонимных постов с Hacker News (без имён и прямых ссылок), а дальше сам искал в интернете реальную личность. Результат: две трети из 338 профилей опознаны верно, ложных срабатываний - около 10%.

Проверили и на другом датасете - частично отредактированных интервью с учёными. Несмотря на редактуру, ИИ опознал минимум 9 из 33 человек. Без всяких хитростей обхода защит.

Схема деанонимизации пользователя, демонстрирующая извлечение, поиск и сопоставление данных для идентификации.

Как это работает

Процесс разбит на четыре этапа. Сначала модель читает посты пользователя и составляет профиль: профессия, локация, хобби, политические взгляды - всё, что читается между строк.

Потом эти характеристики сравниваются с базой кандидатов (как поисковик ищет лучшие совпадения). На третьем шаге более мощная модель проверяет топовых кандидатов и выбирает наиболее вероятного. В конце система оценивает собственную уверенность и в сомнительных случаях воздерживается от вывода.

Принципиальная разница с прошлыми методами: знаменитая атака на Netflix Prize 2008 года (когда исследователи сопоставили анонимные оценки фильмов с публичными профилями) требовала чистых структурированных данных - цифр, рейтингов, временных меток. Новый метод работает напрямую с хаотичным естественным языком форумов и комментариев.

График сравнения точности деанонимизации ("Recall") с разными размерами пулов кандидатов.

Закономерность простая: чем больше постов, тем проще вычислить. Среди пользователей Reddit, обсуждавших фильмы в разных сообществах, почти половина тех, кто упомянул 10+ общих фильмов, была опознана. С одним общим фильмом - только 3%.

Чем больше база кандидатов, тем сложнее. Но метод с использованием рассуждений языковой модели остаётся эффективным даже с миллионами кандидатов. По экстраполяции исследователей, даже с миллионом кандидатов атака срабатывает в 35-45% случаев.

Исследователи рисуют мрачную картину последствий. Государства могут раскрывать псевдонимные аккаунты диссидентов или журналистов. Компании - связывать анонимные форумные посты с профилями клиентов. Мошенники - запускать персонализированные кампании в промышленных масштабах.

В этом контексте понятнее, почему Anthropic так жёстко сопротивляется массовой слежке с помощью ИИ в споре с Пентагоном.

Скриншот текста о проблемах конфиденциальности и доксинге на Steam профиле.

Возможные контрмеры вроде ограничения доступа к данным или детектирования автоматического скрейпинга могут усложнить атаки. Но исследователи настроены пессимистично: их метод - это просто последовательность безобидных на вид шагов (суммирование, поиск, сортировка), которые почти невозможно отличить от легитимного использования.

В тесте с данными из профиля Steam GPT-4o отказался искать, сославшись на недопустимую деанонимизацию. Claude от Anthropic тоже отклонил запрос. А вот Deepseek и Manus.ai согласились искать, но ничего полезного не нашли.

"Пользователи, постящие под постоянными никами, должны исходить из того, что противники могут связать их аккаунты с реальными личностями или друг с другом, и эта вероятность растёт с каждым кусочком микроданных", - пишут исследователи.