你以為換個馬甲就安全了？一篇論文扒掉了整個互聯網的底褲

你在互聯網上有幾個馬甲？

豆瓣上一個，用來打分吐槽爛片，知乎上一個，偶爾回答點專業問題裝裝內行，微博上還有一個，專門發些不想讓同事看見的牢騷。

你覺得挺安全的，畢竟名字是編的，頭像是隨便找的，從來沒說過自己住哪兒叫什么。誰會閑著沒事來查你呢？就算真要查，翻你幾千條帖子做交叉比對，光人工成本就得好幾萬。（這個數是我瞎猜的）

這個安全感，最近被一篇論文徹底打碎了。

2026年2月，AI大魔王公司Anthropic和瑞士蘇黎世聯邦理工學院（ETH Zurich）的研究員聯合發了一篇論文，標題直白到嚇人：《用大語言模型進行大規模線上去匿名化》。（Large-scale online deanonymization with LLMs）

說人話：用AI把網上的匿名用戶和真人對上號。

花多少錢呢？1到4美元，一杯美式咖啡的價格。

一、扒掉你的馬甲

先說這個實驗是怎么做的。

研究團隊搭建了一套全自動AI系統，在三組真實數據上做了測試。其中最核心的一組是這樣的：他們收集了一批Hacker News（技術領域的資訊網站）的匿名用戶帖子，去掉所有明顯的身份標識，名字、用戶名、鏈接全刪了，然后讓AI去互聯網上找，看能不能把這些匿名賬號和LinkedIn上的真人簡歷對上。

結果：338個人里，226個被正確識別，召回率67%，精確率約90%。

什么意思呢？AI每認出10個人，大約有9個是認對的。

在同一組數據上，傳統的基于結構化數據匹配方法，召回率是0.1%，幾乎等于零。

以前，人肉一個匿名用戶的過程可能是花好幾天翻帖子、查蛛絲馬跡、做交叉驗證。費時費力，成本極高，所以大部分人覺得自己是安全的。研究人員管這個叫practical obscurity，實際模糊性。翻譯成大白話：你之所以安全，只是因為查你不劃算。

這篇論文證明了：這個前提已經不存在了。

二、AI是怎么開盒的

你可能會好奇：一個人在網上隨便發了些帖子，又沒寫自己叫什么住哪兒，AI憑什么能鎖定他的真實身份？

靠的是所有“微數據”的疊加。

研究人員把AI開盒的過程拆成了四步，然后AI偵探在線拼圖：

第一步，提取。AI翻遍你的發帖記錄，從那些看似隨意的文字里抽取“身份信號”。你提過自己是做生物研究的？記下來！你用了英式拼寫analysing而不是美式的analyzing？大概率在英國或英聯邦國家。你抱怨孩子秋天要入學了？年齡段和家庭狀況也有了。這些零碎信息被整理成一份半結構化的畫像檔案。

第二步，搜索。把這份畫像轉化成一組數學向量，然后在幾百萬個候選人的數據庫里跑“最近鄰搜索”，本質上和你用搜索引擎找相似文檔是同一套技術。AI從茫茫人海中篩出一批看起來像的候選人。

第三步，推理。這一步最關鍵。AI把匿名賬號的畫像和候選人的公開信息擺在一起，開始推理：兩個人都提過同一個冷門學術會議？都對某個小眾導演有獨到見解？用詞習慣高度相似？傳統方法走到這步就徹底斷片了，規則系統沒法理解“兩個人在不同帖子里都用屋頂場景聊甜茶（Timothée Chalamet）”意味著什么。大語言模型可以。

第四步，校準。AI給每個匹配結果打一個置信度分數。不確定的，不出手，這保證了較低的誤判率。

四步走完，每一步單獨拎出來看，都像是完全正常的、合法的AI功能：總結文本、語義搜索、內容比對、可信度評分。沒有任何一步是在做壞事，但四步一串，開盒流水線就轉起來了。

研究者之一Daniel Paleka在采訪里說了一句讓人印象很深的話：“如果你的安全依賴于'沒人會花幾小時來調查我'，那么這個模式現在已經崩了。”

圖｜流程大致如此

三、你聊過的電影越多，越容易被認出來

上面的實驗聽著可能離自己太遠，畢竟不是每個人都同時有Hacker News和LinkedIn賬號，研究團隊還做了幾組更有日常感的測試。

比如Reddit電影社區實驗，研究人員從r/movies和幾個相關子版塊收集了用戶的發帖記錄，然后測試AI能否把分散在不同板塊的賬號關聯起來。

結果發現，能不能認出你，跟你聊過幾部電影強相關：

• 只提過1部電影的用戶，3.1%的概率被識別（90%精度下）
• 
  
• 提過5到9部的，8.4%
• 
  
• 提過10部以上的，48.1%
• 
  

將近一半，你只是在不同的版塊聊了聊喜歡的電影，AI就能把你的小號全串起來。

以及Anthropic訪談實驗。這組更夸張，Anthropic之前做過一次內部問卷，問員工和外部參與者平時怎么用AI工具，研究人員拿到了125份匿名回答，然后讓AI試著根據回答內容去互聯網上找到真人。

結果：9個人被成功識別。

其中一個案例很有代表性。某位受訪者在問卷里提到“我在生物學領域工作，研究方向是某某課題”“我的背景是物理學”“我和導師最近在討論分析某種現象的影響”。就這些信息，AI先鎖定了一個在英國某大學讀博的學生，然后通過GitHub倉庫和bioRxiv預印本上的記錄交叉驗證。對上了。

圖｜一個非常嚴謹且有效的AI開盒測試案例

7%的識別率聽起來不高，但這些人既沒發帖，也沒上社交媒體，只是在一份匿名問卷里隨口聊了聊工作，然后就被盯上了。

論文合著者Simon Lermen說：

“以前的方法需要結構化數據，兩個格式相似的數據集才能互相匹配。現在AI可以直接從自由文本開始，一路查到你是誰。這是一種全新的能力。”

四、為什么安全護欄攔不住

看到這里你可能會想：AI公司不是都在搞安全對齊嗎？給模型加護欄、設拒答規則，不讓它干壞事，不就行了？

這恰恰是這篇論文最讓人不安的地方。

它證明了一件事：任務分解可以繞過幾乎所有護欄。

你直接問一個AI大模型“幫我扒一下這個用戶是誰”，它大概率會拒絕你，但你把這個任務拆開呢？

• “幫我總結一下這段文字里提到的關鍵信息”，正常需求，通過。
• 
  
• “幫我把這些信息轉成向量嵌入”，技術操作，通過。
• 
  
• “幫我在這500個候選人里排個序”，推薦系統常用功能，通過。
• 
  
• “幫我評估一下這兩個人是不是同一個人”，文本比對，通過。
• 
  

每一步都無害，四步連起來，就是一次完整的開盒攻擊。

光靠AI公司給模型上鎖，鎖不住這條路，你沒法禁止文本摘要，沒法禁止語義搜索，沒法禁止相似度排序，這些是大語言模型最基礎的能力。

2008年，有過一個轟動一時的案例。Netflix公開了一批用戶的匿名觀影記錄，本意是辦一個算法競賽，兩個研究者用這些數據交叉比對了IMDb的公開評論，成功識別了真人身份，還能看出他們的政治傾向。

但那次，攻擊者需要兩個格式相近的結構化數據集。現在呢？隨便什么文字都行，你發的豆瓣短評、知乎回答、微博吐槽、貼吧水帖，任何自由文本都是攻擊面。

電子前線基金會（EFF）的高級技術專家Jacob Hoffman-Andrews說：“大語言模型工作快，而且不會感到無聊。這讓它們成了理想的互聯網偵探。”

順帶一提，在這項研究公布的前一個月，馬斯克旗下xAI的聊天機器人Grok剛剛鬧出了一件事：一位用了12年藝名的美國成人內容創作者Siri Dahl，被Grok在一次普通對話中直接吐出了真名和家庭住址。她隨后在社交媒體上發帖稱，自己的隱私信息被其他AI爬蟲二次傳播，“散布到了整個互聯網”。

論文里講的是學術實驗。現實里，它已經在發生了。

五、然后呢？

所以普通人該怎么辦？

論文的合著者們給了一些務實的建議：

對平臺來說，最有效的短期措施是限制數據獲取，給API加頻率限制、檢測自動爬蟲、限制批量數據導出。這不能消滅威脅，但能把大規模攻擊的成本拉回去。

對AI服務商來說，單個請求層面的拒答策略意義有限，更有價值的是監控API調用的模式，一個用戶先調用摘要接口、再調用嵌入接口、再調用排序接口，這個序列本身就是信號。

對個人來說，合著者Joshua Swanson的建議是：如果要發真正敏感的內容，用全新賬號。并且要意識到，暴露你身份的從來不是某一條帖子，而是你所有帖子里那些細節的組合。不同平臺用不同的風格、不同的興趣標簽、不同的表達習慣。把維護匿名身份當成一個真正的安全工程問題來對待，不是換個用戶名就完事了。

當然，還有最簡單粗暴的一招：少發，或者定期刪帖。

論文的最后寫了這樣一段話（大概是這么個意思）：

“過去保護匿名用戶主要靠'查你太麻煩'，現在這大概已經不管用了。用固定ID發帖的人，應該默認自己的賬號隨時可能被人和真實身份對上號，而且你每多發一條帖子，被認出來的概率就多漲一分。”

研究人員補充說，他們出于倫理考量，刻意沒有對真正試圖保護隱私的高敏感人群做測試，也故意隱去了部分技術細節以防止被直接濫用。但他們發出了警告：隨著大模型能力持續提升，這種攻擊只會越來越容易、越來越便宜。

說到底，互聯網匿名從來就不是一種權利，也不是誰精心設計的結果，它只是一個副產品，一個因為人力成本太高而僥幸存在的灰色空間。

AI正在把這個成本打到4美元。

這個灰色空間，可能正在被消解。