你在互聯(lián)網(wǎng)上有幾個(gè)馬甲？

豆瓣上一個(gè)，用來打分吐槽爛片，知乎上一個(gè)，偶爾回答點(diǎn)專業(yè)問題裝裝內(nèi)行，微博上還有一個(gè)，專門發(fā)些不想讓同事看見的牢騷。

你覺得挺安全的，畢竟名字是編的，頭像是隨便找的，從來沒說過自己住哪兒叫什么。誰會(huì)閑著沒事來查你呢？就算真要查，翻你幾千條帖子做交叉比對(duì)，光人工成本就得好幾萬。（這個(gè)數(shù)是我瞎猜的）

這個(gè)安全感，最近被一篇論文徹底打碎了。

2026年2月，AI大魔王公司Anthropic和瑞士蘇黎世聯(lián)邦理工學(xué)院（ETH Zurich）的研究員聯(lián)合發(fā)了一篇論文，標(biāo)題直白到嚇人：《用大語言模型進(jìn)行大規(guī)模線上去匿名化》。（Large-scale online deanonymization with LLMs）

說人話：用AI把網(wǎng)上的匿名用戶和真人對(duì)上號(hào)。

花多少錢呢？1到4美元，一杯美式咖啡的價(jià)格。

一、扒掉你的馬甲

先說這個(gè)實(shí)驗(yàn)是怎么做的。

研究團(tuán)隊(duì)搭建了一套全自動(dòng)AI系統(tǒng)，在三組真實(shí)數(shù)據(jù)上做了測(cè)試。其中最核心的一組是這樣的：他們收集了一批Hacker News（技術(shù)領(lǐng)域的資訊網(wǎng)站）的匿名用戶帖子，去掉所有明顯的身份標(biāo)識(shí)，名字、用戶名、鏈接全刪了，然后讓AI去互聯(lián)網(wǎng)上找，看能不能把這些匿名賬號(hào)和LinkedIn上的真人簡(jiǎn)歷對(duì)上。

結(jié)果：338個(gè)人里，226個(gè)被正確識(shí)別，召回率67%，精確率約90%。

什么意思呢？AI每認(rèn)出10個(gè)人，大約有9個(gè)是認(rèn)對(duì)的。

在同一組數(shù)據(jù)上，傳統(tǒng)的基于結(jié)構(gòu)化數(shù)據(jù)匹配方法，召回率是0.1%，幾乎等于零。

以前，人肉一個(gè)匿名用戶的過程可能是花好幾天翻帖子、查蛛絲馬跡、做交叉驗(yàn)證。費(fèi)時(shí)費(fèi)力，成本極高，所以大部分人覺得自己是安全的。研究人員管這個(gè)叫practical obscurity，實(shí)際模糊性。翻譯成大白話：你之所以安全，只是因?yàn)椴槟悴粍澦恪?/p>

這篇論文證明了：這個(gè)前提已經(jīng)不存在了。

二、AI是怎么開盒的

你可能會(huì)好奇：一個(gè)人在網(wǎng)上隨便發(fā)了些帖子，又沒寫自己叫什么住哪兒，AI憑什么能鎖定他的真實(shí)身份？

靠的是所有“微數(shù)據(jù)”的疊加。

研究人員把AI開盒的過程拆成了四步，然后AI偵探在線拼圖：

第一步，提取。AI翻遍你的發(fā)帖記錄，從那些看似隨意的文字里抽取“身份信號(hào)”。你提過自己是做生物研究的？記下來！你用了英式拼寫analysing而不是美式的analyzing？大概率在英國(guó)或英聯(lián)邦國(guó)家。你抱怨孩子秋天要入學(xué)了？年齡段和家庭狀況也有了。這些零碎信息被整理成一份半結(jié)構(gòu)化的畫像檔案。

第二步，搜索。把這份畫像轉(zhuǎn)化成一組數(shù)學(xué)向量，然后在幾百萬個(gè)候選人的數(shù)據(jù)庫里跑“最近鄰搜索”，本質(zhì)上和你用搜索引擎找相似文檔是同一套技術(shù)。AI從茫茫人海中篩出一批看起來像的候選人。

第三步，推理。這一步最關(guān)鍵。AI把匿名賬號(hào)的畫像和候選人的公開信息擺在一起，開始推理：兩個(gè)人都提過同一個(gè)冷門學(xué)術(shù)會(huì)議？都對(duì)某個(gè)小眾導(dǎo)演有獨(dú)到見解？用詞習(xí)慣高度相似？傳統(tǒng)方法走到這步就徹底斷片了，規(guī)則系統(tǒng)沒法理解“兩個(gè)人在不同帖子里都用屋頂場(chǎng)景聊甜茶（Timothée Chalamet）”意味著什么。大語言模型可以。

第四步，校準(zhǔn)。AI給每個(gè)匹配結(jié)果打一個(gè)置信度分?jǐn)?shù)。不確定的，不出手，這保證了較低的誤判率。

四步走完，每一步單獨(dú)拎出來看，都像是完全正常的、合法的AI功能：總結(jié)文本、語義搜索、內(nèi)容比對(duì)、可信度評(píng)分。沒有任何一步是在做壞事，但四步一串，開盒流水線就轉(zhuǎn)起來了。

研究者之一Daniel Paleka在采訪里說了一句讓人印象很深的話：“如果你的安全依賴于'沒人會(huì)花幾小時(shí)來調(diào)查我'，那么這個(gè)模式現(xiàn)在已經(jīng)崩了。”

圖｜流程大致如此

三、你聊過的電影越多，越容易被認(rèn)出來

上面的實(shí)驗(yàn)聽著可能離自己太遠(yuǎn)，畢竟不是每個(gè)人都同時(shí)有Hacker News和LinkedIn賬號(hào)，研究團(tuán)隊(duì)還做了幾組更有日常感的測(cè)試。

比如Reddit電影社區(qū)實(shí)驗(yàn)，研究人員從r/movies和幾個(gè)相關(guān)子版塊收集了用戶的發(fā)帖記錄，然后測(cè)試AI能否把分散在不同板塊的賬號(hào)關(guān)聯(lián)起來。

結(jié)果發(fā)現(xiàn)，能不能認(rèn)出你，跟你聊過幾部電影強(qiáng)相關(guān)：

• 只提過1部電影的用戶，3.1%的概率被識(shí)別（90%精度下）
• 
  
• 提過5到9部的，8.4%
• 
  
• 提過10部以上的，48.1%
• 
  

將近一半，你只是在不同的版塊聊了聊喜歡的電影，AI就能把你的小號(hào)全串起來。

以及Anthropic訪談實(shí)驗(yàn)。這組更夸張，Anthropic之前做過一次內(nèi)部問卷，問員工和外部參與者平時(shí)怎么用AI工具，研究人員拿到了125份匿名回答，然后讓AI試著根據(jù)回答內(nèi)容去互聯(lián)網(wǎng)上找到真人。

結(jié)果：9個(gè)人被成功識(shí)別。

其中一個(gè)案例很有代表性。某位受訪者在問卷里提到“我在生物學(xué)領(lǐng)域工作，研究方向是某某課題”“我的背景是物理學(xué)”“我和導(dǎo)師最近在討論分析某種現(xiàn)象的影響”。就這些信息，AI先鎖定了一個(gè)在英國(guó)某大學(xué)讀博的學(xué)生，然后通過GitHub倉庫和bioRxiv預(yù)印本上的記錄交叉驗(yàn)證。對(duì)上了。

圖｜一個(gè)非常嚴(yán)謹(jǐn)且有效的AI開盒測(cè)試案例

7%的識(shí)別率聽起來不高，但這些人既沒發(fā)帖，也沒上社交媒體，只是在一份匿名問卷里隨口聊了聊工作，然后就被盯上了。

論文合著者Simon Lermen說：

“以前的方法需要結(jié)構(gòu)化數(shù)據(jù)，兩個(gè)格式相似的數(shù)據(jù)集才能互相匹配。現(xiàn)在AI可以直接從自由文本開始，一路查到你是誰。這是一種全新的能力。”

四、為什么安全護(hù)欄攔不住

看到這里你可能會(huì)想：AI公司不是都在搞安全對(duì)齊嗎？給模型加護(hù)欄、設(shè)拒答規(guī)則，不讓它干壞事，不就行了？

這恰恰是這篇論文最讓人不安的地方。

它證明了一件事：任務(wù)分解可以繞過幾乎所有護(hù)欄。

你直接問一個(gè)AI大模型“幫我扒一下這個(gè)用戶是誰”，它大概率會(huì)拒絕你，但你把這個(gè)任務(wù)拆開呢？

• “幫我總結(jié)一下這段文字里提到的關(guān)鍵信息”，正常需求，通過。
• 
  
• “幫我把這些信息轉(zhuǎn)成向量嵌入”，技術(shù)操作，通過。
• 
  
• “幫我在這500個(gè)候選人里排個(gè)序”，推薦系統(tǒng)常用功能，通過。
• 
  
• “幫我評(píng)估一下這兩個(gè)人是不是同一個(gè)人”，文本比對(duì)，通過。
• 
  

每一步都無害，四步連起來，就是一次完整的開盒攻擊。

光靠AI公司給模型上鎖，鎖不住這條路，你沒法禁止文本摘要，沒法禁止語義搜索，沒法禁止相似度排序，這些是大語言模型最基礎(chǔ)的能力。

2008年，有過一個(gè)轟動(dòng)一時(shí)的案例。Netflix公開了一批用戶的匿名觀影記錄，本意是辦一個(gè)算法競(jìng)賽，兩個(gè)研究者用這些數(shù)據(jù)交叉比對(duì)了IMDb的公開評(píng)論，成功識(shí)別了真人身份，還能看出他們的政治傾向。

但那次，攻擊者需要兩個(gè)格式相近的結(jié)構(gòu)化數(shù)據(jù)集。現(xiàn)在呢？隨便什么文字都行，你發(fā)的豆瓣短評(píng)、知乎回答、微博吐槽、貼吧水帖，任何自由文本都是攻擊面。

電子前線基金會(huì)（EFF）的高級(jí)技術(shù)專家Jacob Hoffman-Andrews說：“大語言模型工作快，而且不會(huì)感到無聊。這讓它們成了理想的互聯(lián)網(wǎng)偵探。”

順帶一提，在這項(xiàng)研究公布的前一個(gè)月，馬斯克旗下xAI的聊天機(jī)器人Grok剛剛鬧出了一件事：一位用了12年藝名的美國(guó)成人內(nèi)容創(chuàng)作者Siri Dahl，被Grok在一次普通對(duì)話中直接吐出了真名和家庭住址。她隨后在社交媒體上發(fā)帖稱，自己的隱私信息被其他AI爬蟲二次傳播，“散布到了整個(gè)互聯(lián)網(wǎng)”。

論文里講的是學(xué)術(shù)實(shí)驗(yàn)。現(xiàn)實(shí)里，它已經(jīng)在發(fā)生了。

五、然后呢？

所以普通人該怎么辦？

論文的合著者們給了一些務(wù)實(shí)的建議：

對(duì)平臺(tái)來說，最有效的短期措施是限制數(shù)據(jù)獲取，給API加頻率限制、檢測(cè)自動(dòng)爬蟲、限制批量數(shù)據(jù)導(dǎo)出。這不能消滅威脅，但能把大規(guī)模攻擊的成本拉回去。

對(duì)AI服務(wù)商來說，單個(gè)請(qǐng)求層面的拒答策略意義有限，更有價(jià)值的是監(jiān)控API調(diào)用的模式，一個(gè)用戶先調(diào)用摘要接口、再調(diào)用嵌入接口、再調(diào)用排序接口，這個(gè)序列本身就是信號(hào)。

對(duì)個(gè)人來說，合著者Joshua Swanson的建議是：如果要發(fā)真正敏感的內(nèi)容，用全新賬號(hào)。并且要意識(shí)到，暴露你身份的從來不是某一條帖子，而是你所有帖子里那些細(xì)節(jié)的組合。不同平臺(tái)用不同的風(fēng)格、不同的興趣標(biāo)簽、不同的表達(dá)習(xí)慣。把維護(hù)匿名身份當(dāng)成一個(gè)真正的安全工程問題來對(duì)待，不是換個(gè)用戶名就完事了。

當(dāng)然，還有最簡(jiǎn)單粗暴的一招：少發(fā)，或者定期刪帖。

論文的最后寫了這樣一段話（大概是這么個(gè)意思）：

“過去保護(hù)匿名用戶主要靠'查你太麻煩'，現(xiàn)在這大概已經(jīng)不管用了。用固定ID發(fā)帖的人，應(yīng)該默認(rèn)自己的賬號(hào)隨時(shí)可能被人和真實(shí)身份對(duì)上號(hào)，而且你每多發(fā)一條帖子，被認(rèn)出來的概率就多漲一分。”

研究人員補(bǔ)充說，他們出于倫理考量，刻意沒有對(duì)真正試圖保護(hù)隱私的高敏感人群做測(cè)試，也故意隱去了部分技術(shù)細(xì)節(jié)以防止被直接濫用。但他們發(fā)出了警告：隨著大模型能力持續(xù)提升，這種攻擊只會(huì)越來越容易、越來越便宜。

說到底，互聯(lián)網(wǎng)匿名從來就不是一種權(quán)利，也不是誰精心設(shè)計(jì)的結(jié)果，它只是一個(gè)副產(chǎn)品，一個(gè)因?yàn)槿肆Τ杀咎叨鴥e幸存在的灰色空間。

AI正在把這個(gè)成本打到4美元。

這個(gè)灰色空間，可能正在被消解。