Исследователи из ETH Zurich и Google DeepMind показали, что LLM-агент может массово деанонимизировать пользователей по их анонимным постам. Не через стилометрию (то есть стиль письма), не через утёкшие базы, а через семантику – то, о чём ты пишешь.
Как это работает
Пайплайн называется ESRC и состоит из четырех этапов:
Extract. LLM читает все комментарии пользователя и извлекает полуструктурированную сводку: город, профессия, интересы, упомянутые конференции, проекты, хобби. Никакого анализа стиля письма – чистая семантика. Ты написал что был на рыбалке в Питере, работаешь с компьютерным зрением и держишь аквариум – это уже три сигнала, которые llm запомнит.
Search. Сводки превращаются в эмбеддинги. По косинусной близости находятся top-100 кандидатов из базы (LinkedIn, HH и любая другая платформа с вашими данными).
Reason. LLM получает анонимизированный профиль и профили кандидатов, логически выбирает наиболее вероятное совпадение. Тут уже рассуждение – “этот человек упоминает NLP и живет в Москве, а вот у этого кандидата в резюме написано…”
Calibrate. Попарные LLM-сравнения финальных кандидатов, чтобы снизить false positive rate.
Каждый из этих шагов по отдельности выглядит абсолютно легитимно. Суммаризация профиля? Нормальная задача. Построение эмбеддингов? Пожалуйста, все этим занимаются. Сравнение двух текстов? Ничего подозрительного. Это делает детектирование злоупотреблений на стороне LLM-провайдера практически невозможным.
Результаты экспериментов
Эксперимент 1: HN → LinkedIn. Взяли аккаунты Hacker News, у которых в профиле стоит ссылка на LinkedIn. Потом прогнали HN-профили через LLM, убрав все напрямую идентифицирующие данные – имена, ссылки, всё явное. Задача: по анонимизированным комментариям найти правильный LinkedIn. Результат – 68% recall при 90% precision. Классические методы (без LLM) на этом же пороге точности дают recall около нуля.
Эксперимент 2: Anthropic Interviewer. Самый интересный. Anthropic опубликовал анонимизированные интервью ученых про использование ИИ. Предыдущая работа (Li, 2026) смогла идентифицировать 6 из 24 человек. Агент авторов этой статьи идентифицировал 9 из 33 учёных с точностью 82%. При том что транскрипты были редактированы самой Anthropic для защиты приватности. Два неправильных ответа, 22 отказа, так как агент предпочитал не отвечать, если не уверен.
Масштабирование
Recall деградирует логарифмически-линейно с ростом пула кандидатов. Экстраполяция с пулов до 10,000 кандидатов проецирует ~35% recall при миллионе кандидатов (при 90% precision). Это не баг, это фича – метод не ломается на больших масштабах. С учетом того, что модели будут улучшаться а стоимость инференса падать, через год-два эти цифры будут значительно лучше.
Почему перезаписать текст через LLM не поможет
Половина комментариев на HN предлагала “просто пропускай свои посты через LLM чтобы изменить стиль”. Авторы терпеливо объясняли раз за разом: они не используют стилометрию. Если ты написал “(переписано LLM-ом) я работаю с распределенными системами в финтехе и недавно переехал в Питер” – семантические улики остались на месте. Другой голос, те же факты.
Что теоретически может помочь – инъекция ложных сигналов. Менять город, имя жены, придумывать хобби. Но попробуйте делать это систематически на протяжении лет. А если вы один раз забудете и напишете правду – одного поста может хватить чтобы отфильтровать шум.
Что с этим делать
Авторы дают рекомендации по трем направлениям:
Платформам: ограничивать API-доступ к данным, rate limiting, детектировать скрейпинг, ограничить массовый экспорт. Исходить из того что псевдонимных пользователей можно связать между аккаунтами.
LLM-провайдерам: как уже писал выше – мониторинг помогают ограниченно, потому что атака разбивается на безобидные подзадачи. А для open-source моделей вообще нет никаких тормозов.
Пользователям: каждая деталь – город, работа, конференция, хобби – сужает круг. Комбинация часто уникальна. Тест: может ли команда хороших следователей установить вашу личность по постам? Если да – LLM-агент тоже сможет, только дешевле.
Авторы не выложили код и обработанные данные. Но как верно заметили в обсуждении на HN – дайте пару дней, и кто-нибудь сделает proof of concept и добавит в гит.
Ссылки
-
Статья: arxiv.org/abs/2602.16800
-
Блог-пост автора: simonlermen.substack.com
-
Обсуждение на HN: news.ycombinator.com
P.S. Надеюсь тебе понравилось. Лучшая благодарность – это твоя подписка на мой Telegram-канал – там много интересного и полезного 😊
Автор: ab429
