Large-scale online deanonymization with LLMs

我们证明，大语言模型可用于开展大规模去匿名化操作。在具备完整互联网访问权限的情况下，我们的智能体仅凭用户匿名化的在线个人资料及对话内容，即可以极高准确率重新识别 Hacker News 用户与 Anthropic 面试参与者——这一能力相当于一名专注的人类调查员需耗费数小时才能完成的工作。随后，我们针对“封闭世界”（closed-world）场景设计了新型攻击方法：给定两个均包含非结构化文本的匿名用户数据库（这些文本或是由用户本人撰写，或是关于该用户的描述），我们构建了一套可扩展的攻击流水线，利用大语言模型实现以下三步操作：（1）提取与身份识别高度相关的关键特征；（2）借助语义嵌入技术，在海量数据中高效检索潜在匹配对象；（3）对排序靠前的候选匹配项进行深度推理，以验证匹配结果并显著降低误报率。相较于传统去匿名化研究（例如针对 Netflix Prize 数据集的早期工作）——其严重依赖结构化数据，我们的方法可直接作用于任意网络平台上的原始用户生成内容，无需预设数据格式或字段结构。为系统评估该攻击效果，我们构建了三个具备真实标注（ground-truth）的评测数据集：第一个数据集通过个人资料中出现的跨平台引用信息，将 Hacker News 用户与其 LinkedIn 个人主页进行关联；第二个数据集旨在匹配 Reddit 上不同电影讨论社区中的同一用户；第三个数据集则将单个用户的 Reddit 历史发帖按时间切分为两段，人为构造出两个独立的匿名用户档案，再尝试将其重新关联。在所有三种实验设定下，基于大语言模型的方法均显著超越经典基线方法：在保持 90% 高精度的前提下，最高可达 68% 的召回率；而表现最优的传统非大语言模型方法在此精度水平下的召回率几乎为零。我们的研究结果表明，当前网络空间中支撑伪匿名用户安全的“实际隐蔽性”（practical obscurity）已不复存在，面向在线隐私保护的威胁模型亟需重新审视与更新。

论文探讨大规模语言模型（LLMs）在无结构化文本场景下实现高精度、可扩展的跨平台去匿名化问题，验证了‘伪匿名用户在互联网上实际不再具备实用级隐私保护’这一关键假设。这是一个新问题：传统去匿名化（如Netflix Prize）依赖结构化、多维属性（如评分+时间戳），而本文首次系统证明仅凭开放网络中的非结构化用户生成内容（如Hacker News评论、Reddit发帖）即可高效重建身份，无需显式标识符或数据库链接。

提出端到端LLM驱动的闭世界去匿名化流水线：（1）用LLM从原始文本中提取语义丰富、身份敏感的非结构化特征（如 writing style, technical preferences, life events）；（2）利用LLM生成的嵌入进行跨平台语义检索（而非关键词匹配）；（3）用LLM对候选匹配进行推理验证（chain-of-thought prompting），显著抑制假阳性。新意在于完全绕过特征工程与结构对齐，直接在原始文本层面建模身份一致性，将去匿名化从‘数据库对齐问题’升维为‘语义同一性推理问题’。

实验设计严谨：构建三个带真实标注的基准数据集——HN↔LinkedIn（利用用户主动跨站引用）、Reddit电影子版块跨社区匹配、单用户Reddit历史时序分割（模拟长期匿名演化）。所有数据均含人工验证的ground truth；未提代码开源，但方法完全基于公开API（如Claude、GPT）与标准嵌入模型（e.g., text-embedding-3-large），具备强复现性；68% recall@90% precision远超传统NLP基线（TF-IDF+cosine、BERT微调等）；值得深入的方向包括：LLM提示鲁棒性防御、面向隐私保护的文本扰动对抗训练、以及监管框架如何响应‘语义指纹’威胁。

Narayanan & Shmatikov (2008) — Robust De-anonymization of Large Sparse Datasets; Calandrino et al. (2011) — You Might Also Like: Privacy Risks of Collaborative Filtering; Weinsberg et al. (2012) — Uncovering Social Network Sybils in the Wild; Liu et al. (2023) — LLMs Can Infer Sensitive Attributes from Text; Carlini et al. (2023) — Extracting Training Data from Diffusion Models