- Исследователи из ETH Zurich и Google DeepMind разработали метод деанонимизации анонимных постов пользователей в интернете с помощью LLM-агента, основываясь на семантике сообщений, а не на стилометрии.
- Эксперименты показали высокую точность определения личности: 68% recall при 90% precision при сопоставлении аккаунтов Hacker News с LinkedIn и 82% точность в идентификации ученых по анонимизированным интервью.
- Изменение стиля текста с помощью LLM не защищает от деанонимизации, так как алгоритм опирается на содержательную информацию, а не на стиль речи.
Исследователи из ETH Zurich совместно с Google DeepMind представили инновационный метод, который позволяет разрушать анонимность пользователей в интернете, анализируя не стиль написания, а смысловое содержание их публикаций. В основе технологии лежит специально разработанный пайплайн ESRC, включающий четыре этапа: извлечение ключевой информации, преобразование в эмбеддинги, поиск совпадений среди баз данных и логическое сравнение профилей для выбора наиболее вероятного соответствия.
При этом технология не использует стилометрию, которая анализирует особенности письма, а фокусируется на семантике текста — фактах о городе проживания, профессии, личных интересах и других деталях, которые пользователи раскрывают в своих сообщениях. Эксперименты продемонстрировали высокую эффективность: при сопоставлении анонимных аккаунтов Hacker News с публичными данными LinkedIn достигнута точность около 90%, что позволило идентифицировать более двух третей пользователей. В другом исследовании, с использованием анонимизированных интервью ученых от компании Anthropic, LLM-агент идентифицировал 9 из 33 участников с точностью 82%, несмотря на усилия по защите приватности.
Особое внимание авторы уделяют масштабированию технологии — при росте базы данных точность успешно снижается не критично, что свидетельствует о стабильности метода при работе с большим количеством данных. Это создает угрозу для анонимности в интернете, поскольку семантические маркеры остаются неизменными даже при переработке текста через другие языковые модели — изменение стиля не помогает скрыть личность, если сохраняется смысловая нагрузка.
Авторы отмечают, что единственным способом противодействия такому виду деанонимизации может стать систематическое внесение ложных данных, однако реализовать это устойчиво в долгосрочной перспективе практически невозможно. Для борьбы с угрозой предлагаются меры на трёх уровнях: платформам следует ужесточить контроль доступа к данным и ограничивать массовый экспорт информации; LLM-провайдерам — проводить мониторинг, хотя это и непросто из-за поэтапного характера обработки; а пользователям — быть максимально осторожными с раскрываемой информацией, так как даже, казалось бы, незначительные детали способны привести к раскрытию личности.
Примечательно, что код и обработанные данные пока не опубликованы, но ожидается, что вскоре появятся реализации proof of concept, что может ускорить распространение подобных методов. Эта работа подчёркивает важность переосмысления подходов к онлайн-приватности в эпоху развивающегося искусственного интеллекта и мощных инструментов анализа больших данных.
