Распространённое убеждение, что использование псевдонимов в соцсетях обеспечивает достаточный уровень анонимности, стремительно устаревает. Новое исследование, проведённое группой специалистов из ETH Zurich, программы MATS (ML Alignment & Theory Scholars) и компании Anthropic, демонстрирует: современные большие языковые модели (LLM) уже сегодня способны массово деанонимизировать аккаунты пользователей.
Исследование: LLM эффективно сопоставляют анонимные аккаунты с реальными людьми
Авторы работы протестировали, насколько хорошо LLM справляются с задачей деанонимизации пользователей — то есть сопоставления анонимных профилей с конкретными людьми на основе их публичной активности. В ряде экспериментов модели достигали до 68% по метрике recall (доля успешно деанонимизированных аккаунтов) и до 90% по precision (доля корректных совпадений среди всех «угаданных» личностей).
Для сравнения, классические методы деанонимизации, основанные на ручной сборке и анализе структурированных датасетов, обычно показывают существенно более скромные результаты и требуют значительных ресурсов. LLM же работают с неструктурированным текстом и автоматически извлекают слабые, на первый взгляд, сигналы, ранее практически недоступные для автоматизированного анализа.
Как проводились эксперименты: Hacker News, LinkedIn, Netflix и Reddit
Исследователи использовали несколько наборов данных, составленных исключительно из открытой информации. В одном из сценариев они сопоставили посты пользователей на Hacker News с их профилями в LinkedIn, используя кросс-платформенные упоминания. После этого все явные идентификаторы — имена, ники, ссылки — были удалены, а LLM пришлось «восстановить» соответствия только по содержанию сообщений.
Другой датасет был основан на исторических данных Netflix: предпочтения пользователей, рекомендации, записи о просмотрах и транзакциях. Это отсылает к известной атаке на датасет Netflix Prize, когда ещё в 2000‑х годах исследователи показали, что комбинация анонимизированных рейтингов фильмов и внешних источников (например, IMDb) позволяет идентифицировать конкретных людей. Однако LLM показывают, что сегодня аналогичные атаки можно масштабировать и автоматизировать.
Отдельный эксперимент был посвящён разбиению истории активности пользователей Reddit на фрагменты. Модели получали части комментариев и должны были определить, принадлежит ли конкретный текст тому же человеку, сопоставляя стилистику и интересы.
Примеры: кинокомментарии и опрос пользователей ИИ
Особенно наглядны результаты эксперимента с киноветками Reddit: r/movies и пятью смежными сабреддитами (r/horror, r/MovieSuggestions, r/Letterboxd, r/TrueFilm, r/MovieDetails). Оказалось, что чем больше фильмов обсуждает пользователь, тем легче его деанонимизировать. При точности 90% удавалось сопоставить личности:
3,1% пользователей, упомянувших один фильм; 8,4% — обсудивших от пяти до девяти фильмов; и уже 48,1% — для тех, кто писал о десяти и более картинах. Таким образом, обычное увлечение кино в сочетании с частой активностью в соцсетях становится устойчивым «цифровым отпечатком».
В другом тесте анализировались ответы 125 участников опроса Anthropic об их повседневном использовании ИИ. На основе исключительно текстовых ответов LLM смогли точно идентифицировать около 7% респондентов. Показатель на первый взгляд невелик, но сам факт такой деанонимизации из, по сути, «свободного текста» исследователи называют тревожным маркером.
Почему большие языковые модели усиливают угрозу деанонимизации
В третьем крупном эксперименте LLM сравнили с классической атакой по типу Netflix Prize, используя данные о 5000 пользователей Reddit плюс 5000 ложных профилей. Традиционный статистический подход быстро терял точность по мере усложнения задач сопоставления, тогда как LLM демонстрировали гораздо более стабильные и надёжные результаты.
Ключевое отличие современных моделей в том, что они анализируют не только явные атрибуты (времена активности, пересечения по фильмам или темам), но и семантику и стиль текста: лексику, структуру фраз, типичные паттерны интересов. В совокупности это формирует уникальный языковой «почерк», по которому можно идентифицировать человека даже без прямых указаний на его личность.
Риски для пользователей, бизнеса и государств
Если точность и масштабируемость подобных методов будут и дальше расти, последствия для анонимности в интернете могут оказаться серьёзными. По оценке авторов исследования, правительства теоретически смогут использовать LLM для выявления анонимных критиков и оппозиционно настроенных пользователей, а крупные корпорации — для формирования сверхточных рекламных и поведенческих профилей.
Отдельный класс рисков связан с киберпреступностью. Чем проще злоумышленникам деанонимизировать владельцев аккаунтов, тем легче организовать целевые атаки с применением социальной инженерии, фишинга, шантажа и доксинга. При этом пользователю может казаться, что он «спрятан» за никнеймом и разрозненными профилями на разных платформах.
Меры защиты: что могут сделать платформы, провайдеры LLM и пользователи
Исследователи подчёркивают, что проблема решаема лишь при участии всех сторон. Платформам рекомендуется ограничивать частоту и объём API-запросов к пользовательским данным, внедрять механизмы обнаружения автоматического скрапинга и блокировать массовый экспорт контента, пригодного для деанонимизации.
Поставщики больших языковых моделей, в свою очередь, могут встраивать политики использования, напрямую запрещающие деанонимизацию, и технически отслеживать характер запросов к моделям. Если модель систематически используется для сопоставления аккаунтов или вытягивания скрытой информации о людях, такие сценарии должны блокироваться на уровне инфраструктуры.
Пользователям стоит пересмотреть собственную модель угроз: избегать кросс-платформенных привязок (одни и те же ники, биографии и ссылки), минимизировать избыточные персональные детали в публичных постах, разделять профессиональную и личную активность по разным аккаунтам и регулярно пересматривать настройки приватности.
Развитие LLM показывает, что формальная «анонимизация» или псевдонимы перестают быть надёжным щитом. Анонимность в интернете всё больше зависит не от настройки одного аккаунта, а от комплексного подхода к цифровому следу: от того, что и как мы пишем, с кем взаимодействуем и какие следы оставляем на разных платформах. Чем раньше пользователи, компании и регуляторы примут эту новую реальность и начнут адаптировать практики кибербезопасности и приватности, тем выше шансы сохранить контроль над своей цифровой идентичностью.
