你在互聯(lián)網(wǎng)上有幾個馬甲？

豆瓣上一個，用來打分吐槽爛片，知乎上一個，偶爾回答點專業(yè)問題裝裝內(nèi)行，微博上還有一個，專門發(fā)些不想讓同事看見的牢騷。

你覺得挺安全的，畢竟名字是編的，頭像是隨便找的，從來沒說過自己住哪兒叫什么。誰會閑著沒事來查你呢？就算真要查，翻你幾千條帖子做交叉比對，光人工成本就得好幾萬。（這個數(shù)是我瞎猜的）

這個安全感，最近被一篇論文徹底打碎了。

2026年2月，AI大魔王公司Anthropic和瑞士蘇黎世聯(lián)邦理工學(xué)院（ETH Zurich）的研究員聯(lián)合發(fā)了一篇論文，標(biāo)題直白到嚇人：《用大語言模型進行大規(guī)模線上去匿名化》。（Large-scale online deanonymization with LLMs）

說人話：用AI把網(wǎng)上的匿名用戶和真人對上號。

花多少錢呢？1到4美元，一杯美式咖啡的價格。

一、扒掉你的馬甲

先說這個實驗是怎么做的。

研究團隊搭建了一套全自動AI系統(tǒng)，在三組真實數(shù)據(jù)上做了測試。其中最核心的一組是這樣的：他們收集了一批Hacker News（技術(shù)領(lǐng)域的資訊網(wǎng)站）的匿名用戶帖子，去掉所有明顯的身份標(biāo)識，名字、用戶名、鏈接全刪了，然后讓AI去互聯(lián)網(wǎng)上找，看能不能把這些匿名賬號和LinkedIn上的真人簡歷對上。

結(jié)果：338個人里，226個被正確識別，召回率67%，精確率約90%。

什么意思呢？AI每認出10個人，大約有9個是認對的。

在同一組數(shù)據(jù)上，傳統(tǒng)的基于結(jié)構(gòu)化數(shù)據(jù)匹配方法，召回率是0.1%，幾乎等于零。

以前，人肉一個匿名用戶的過程可能是花好幾天翻帖子、查蛛絲馬跡、做交叉驗證。費時費力，成本極高，所以大部分人覺得自己是安全的。研究人員管這個叫practical obscurity，實際模糊性。翻譯成大白話：你之所以安全，只是因為查你不劃算。

這篇論文證明了：這個前提已經(jīng)不存在了。

二、AI是怎么開盒的

你可能會好奇：一個人在網(wǎng)上隨便發(fā)了些帖子，又沒寫自己叫什么住哪兒，AI憑什么能鎖定他的真實身份？

靠的是所有“微數(shù)據(jù)”的疊加。

研究人員把AI開盒的過程拆成了四步，然后AI偵探在線拼圖：

第一步，提取。AI翻遍你的發(fā)帖記錄，從那些看似隨意的文字里抽取“身份信號”。你提過自己是做生物研究的？記下來！你用了英式拼寫analysing而不是美式的analyzing？大概率在英國或英聯(lián)邦國家。你抱怨孩子秋天要入學(xué)了？年齡段和家庭狀況也有了。這些零碎信息被整理成一份半結(jié)構(gòu)化的畫像檔案。

第二步，搜索。把這份畫像轉(zhuǎn)化成一組數(shù)學(xué)向量，然后在幾百萬個候選人的數(shù)據(jù)庫里跑“最近鄰搜索”，本質(zhì)上和你用搜索引擎找相似文檔是同一套技術(shù)。AI從茫茫人海中篩出一批看起來像的候選人。

第三步，推理。這一步最關(guān)鍵。AI把匿名賬號的畫像和候選人的公開信息擺在一起，開始推理：兩個人都提過同一個冷門學(xué)術(shù)會議？都對某個小眾導(dǎo)演有獨到見解？用詞習(xí)慣高度相似？傳統(tǒng)方法走到這步就徹底斷片了，規(guī)則系統(tǒng)沒法理解“兩個人在不同帖子里都用屋頂場景聊甜茶（Timothée Chalamet）”意味著什么。大語言模型可以。

第四步，校準(zhǔn)。AI給每個匹配結(jié)果打一個置信度分數(shù)。不確定的，不出手，這保證了較低的誤判率。

四步走完，每一步單獨拎出來看，都像是完全正常的、合法的AI功能：總結(jié)文本、語義搜索、內(nèi)容比對、可信度評分。沒有任何一步是在做壞事，但四步一串，開盒流水線就轉(zhuǎn)起來了。

研究者之一Daniel Paleka在采訪里說了一句讓人印象很深的話：“如果你的安全依賴于'沒人會花幾小時來調(diào)查我'，那么這個模式現(xiàn)在已經(jīng)崩了?！?/p>

圖｜流程大致如此

三、你聊過的電影越多，越容易被認出來

上面的實驗聽著可能離自己太遠，畢竟不是每個人都同時有Hacker News和LinkedIn賬號，研究團隊還做了幾組更有日常感的測試。

比如Reddit電影社區(qū)實驗，研究人員從r/movies和幾個相關(guān)子版塊收集了用戶的發(fā)帖記錄，然后測試AI能否把分散在不同板塊的賬號關(guān)聯(lián)起來。

結(jié)果發(fā)現(xiàn)，能不能認出你，跟你聊過幾部電影強相關(guān)：

• 只提過1部電影的用戶，3.1%的概率被識別（90%精度下）
• 
  
• 提過5到9部的，8.4%
• 
  
• 提過10部以上的，48.1%
• 
  

將近一半，你只是在不同的版塊聊了聊喜歡的電影，AI就能把你的小號全串起來。

以及Anthropic訪談實驗。這組更夸張，Anthropic之前做過一次內(nèi)部問卷，問員工和外部參與者平時怎么用AI工具，研究人員拿到了125份匿名回答，然后讓AI試著根據(jù)回答內(nèi)容去互聯(lián)網(wǎng)上找到真人。

結(jié)果：9個人被成功識別。

其中一個案例很有代表性。某位受訪者在問卷里提到“我在生物學(xué)領(lǐng)域工作，研究方向是某某課題”“我的背景是物理學(xué)”“我和導(dǎo)師最近在討論分析某種現(xiàn)象的影響”。就這些信息，AI先鎖定了一個在英國某大學(xué)讀博的學(xué)生，然后通過GitHub倉庫和bioRxiv預(yù)印本上的記錄交叉驗證。對上了。

圖｜一個非常嚴謹且有效的AI開盒測試案例

7%的識別率聽起來不高，但這些人既沒發(fā)帖，也沒上社交媒體，只是在一份匿名問卷里隨口聊了聊工作，然后就被盯上了。

論文合著者Simon Lermen說：

“以前的方法需要結(jié)構(gòu)化數(shù)據(jù)，兩個格式相似的數(shù)據(jù)集才能互相匹配?，F(xiàn)在AI可以直接從自由文本開始，一路查到你是誰。這是一種全新的能力?！?/p>

四、為什么安全護欄攔不住

看到這里你可能會想：AI公司不是都在搞安全對齊嗎？給模型加護欄、設(shè)拒答規(guī)則，不讓它干壞事，不就行了？

這恰恰是這篇論文最讓人不安的地方。

它證明了一件事：任務(wù)分解可以繞過幾乎所有護欄。

你直接問一個AI大模型“幫我扒一下這個用戶是誰”，它大概率會拒絕你，但你把這個任務(wù)拆開呢？

• “幫我總結(jié)一下這段文字里提到的關(guān)鍵信息”，正常需求，通過。
• 
  
• “幫我把這些信息轉(zhuǎn)成向量嵌入”，技術(shù)操作，通過。
• 
  
• “幫我在這500個候選人里排個序”，推薦系統(tǒng)常用功能，通過。
• 
  
• “幫我評估一下這兩個人是不是同一個人”，文本比對，通過。
• 
  

每一步都無害，四步連起來，就是一次完整的開盒攻擊。

光靠AI公司給模型上鎖，鎖不住這條路，你沒法禁止文本摘要，沒法禁止語義搜索，沒法禁止相似度排序，這些是大語言模型最基礎(chǔ)的能力。

2008年，有過一個轟動一時的案例。Netflix公開了一批用戶的匿名觀影記錄，本意是辦一個算法競賽，兩個研究者用這些數(shù)據(jù)交叉比對了IMDb的公開評論，成功識別了真人身份，還能看出他們的政治傾向。

但那次，攻擊者需要兩個格式相近的結(jié)構(gòu)化數(shù)據(jù)集。現(xiàn)在呢？隨便什么文字都行，你發(fā)的豆瓣短評、知乎回答、微博吐槽、貼吧水帖，任何自由文本都是攻擊面。

電子前線基金會（EFF）的高級技術(shù)專家Jacob Hoffman-Andrews說：“大語言模型工作快，而且不會感到無聊。這讓它們成了理想的互聯(lián)網(wǎng)偵探?！?/p>

順帶一提，在這項研究公布的前一個月，馬斯克旗下xAI的聊天機器人Grok剛剛鬧出了一件事：一位用了12年藝名的美國成人內(nèi)容創(chuàng)作者Siri Dahl，被Grok在一次普通對話中直接吐出了真名和家庭住址。她隨后在社交媒體上發(fā)帖稱，自己的隱私信息被其他AI爬蟲二次傳播，“散布到了整個互聯(lián)網(wǎng)”。

論文里講的是學(xué)術(shù)實驗。現(xiàn)實里，它已經(jīng)在發(fā)生了。

五、然后呢？

所以普通人該怎么辦？

論文的合著者們給了一些務(wù)實的建議：

對平臺來說，最有效的短期措施是限制數(shù)據(jù)獲取，給API加頻率限制、檢測自動爬蟲、限制批量數(shù)據(jù)導(dǎo)出。這不能消滅威脅，但能把大規(guī)模攻擊的成本拉回去。

對AI服務(wù)商來說，單個請求層面的拒答策略意義有限，更有價值的是監(jiān)控API調(diào)用的模式，一個用戶先調(diào)用摘要接口、再調(diào)用嵌入接口、再調(diào)用排序接口，這個序列本身就是信號。

對個人來說，合著者Joshua Swanson的建議是：如果要發(fā)真正敏感的內(nèi)容，用全新賬號。并且要意識到，暴露你身份的從來不是某一條帖子，而是你所有帖子里那些細節(jié)的組合。不同平臺用不同的風(fēng)格、不同的興趣標(biāo)簽、不同的表達習(xí)慣。把維護匿名身份當(dāng)成一個真正的安全工程問題來對待，不是換個用戶名就完事了。

當(dāng)然，還有最簡單粗暴的一招：少發(fā)，或者定期刪帖。

論文的最后寫了這樣一段話（大概是這么個意思）：

“過去保護匿名用戶主要靠'查你太麻煩'，現(xiàn)在這大概已經(jīng)不管用了。用固定ID發(fā)帖的人，應(yīng)該默認自己的賬號隨時可能被人和真實身份對上號，而且你每多發(fā)一條帖子，被認出來的概率就多漲一分?！?/p>

研究人員補充說，他們出于倫理考量，刻意沒有對真正試圖保護隱私的高敏感人群做測試，也故意隱去了部分技術(shù)細節(jié)以防止被直接濫用。但他們發(fā)出了警告：隨著大模型能力持續(xù)提升，這種攻擊只會越來越容易、越來越便宜。

說到底，互聯(lián)網(wǎng)匿名從來就不是一種權(quán)利，也不是誰精心設(shè)計的結(jié)果，它只是一個副產(chǎn)品，一個因為人力成本太高而僥幸存在的灰色空間。

AI正在把這個成本打到4美元。

這個灰色空間，可能正在被消解。