AI 去匿名化：推断如何瓦解你的匿名（2026）

关于资金：CypherpunkGuide 不投放监控型广告——没有广告网络，没有跟踪像素，也没有软文。运营依靠透明的资金来源：现阶段是读者捐赠，将来会加入订阅以及符合编辑方针的联盟推广。我们面向读者，而非广告主。

我用化名写作，所以本文这种攻击，是我想得最多的一种。每一个化名背后那条老假设都很简单：只要我不把真名放上页面，“Cora Aegis"与那个敲键盘的人之间，就隔着一道昂贵到难以跨越的缝。在数字生活的二十年里，这道假设大体成立——因为跨过那道缝，意味着要有一个人，亲手读完成千上万条帖子。靠省略来匿名——把名字略去就好——对大多数人来说，多数时候都够用了。

如今它不再够用了，而理由是测出来的，不是空想。在一项发表于 ICLR 2024 的同行评审研究《Beyond Memorization》里，ETH Zurich 的研究者证明：现成的语言模型能直接从寻常的 Reddit 文本里推断出位置、收入、性别这类属性——top-1 准确率最高达 85%，在它的前三个猜测之内最高达 95.8%。2026 年一份后续 preprint 把目标从属性推进到身份：一个具备自主行动能力的模型，把一组 Hacker News 用户中的 67% 关联到了他们真实的 LinkedIn 档案，精确率达 90%——它每报出十个匹配，就有九个是对的——而代价大约是每人一到四美元。过去保护着你的那层摩擦——把账号串起来要耗一个人好几个钟头——正是 AI 抹掉的东西。

那么现在，到底是什么在保护一个化名？不是删除按钮；你撤下任何单独一条帖子，那道推断都照样活着。你得用守护任何"前门已经锁不上的系统"的办法来守护它：不再把"我没说过"当成防线，转而去斩断那条把零散、看似无害的信号拧成一个名字的攻击链。下面就是这条链，逐段拆开；也讲清楚为什么链上 Bitcoin 的隐私护不住它，以及真正护得住的那套区隔。

匿名曾经贵得难以攻破——然后 AI 让它变廉价

#

**去匿名化，就是把一个化名或匿名账号，重新关联回某个真实身份的功夫——靠的是在许多细小信号之间做关联与推断，而不是某一次失口。第一件要弄明白的事是：它不是变聪明了，而是变便宜了。那些手法——关联账号、推断未说出口的事实、比对行文风格——都是老的；变了的，是如今由机器来做，每人的代价从一个人的计时工费，降到了几美元。**正是这场价格的崩塌道尽了一切，因为大多数匿名从来就不靠密码学撑着。撑着它的，不过是没人愿意花那个力气。

数字让这场转变变得具体。ETH Zurich 团队的《Beyond Memorization》（ICLR 2024）拿真实的 Reddit 档案来测模型，结果发现：只是自然地写字，就泄露了足够多的东西，让模型猜出你住在哪、挣多少——而那些惯用的缓解手段，文本匿名化工具和模型"对齐”，都没能可靠地拦住它。2026 年那份 preprint《Large-scale online deanonymization with LLMs》（作者名单里有一位当时供职于 Anthropic 的研究者，且尚未经过同行评审）推得更远：它被搭成一个自主智能体，从 Hacker News 评论里抓取线索，去搜索能对上的人，再拿候选与 LinkedIn 逐一核验——最终命中 67% 的用户，精确率 90%，整场实验的总开销不到两千美元。

把这两个结果并在一起读，结论令人不安，却很清楚：保护你的从来是那个价格，而价格已经没了。一个有动机的对手，不再需要专门盯上你。他可以对一整个论坛里的每一个人跑一遍这套攻击，看看谁会掉出来。

去匿名化攻击链：机器如何从帖子走到一个名字

#

**机器去匿名化作为一条三段式攻击链运行——抽取、搜索、核验——而你不必把整条链都打败才算安全；你只需把任意一环斩得够断，让你这份档案降到对手的力气预算之下。**把这条链看成几个离散的段落，正是把一团含糊的恐惧（“AI 能找到我”）变成一张守得住的地图的关键，因为每一段都有不同的薄弱点。

**第一段，抽取与嵌入。**模型读你公开写下的文字，从中拉出结构化的信号：从习语和时间戳里读出一个大概的地区，从用词里读出一份职业，从你提到买过的东西里读出一个收入区间，而最难甩掉的，是一份语言指纹——你行文方式在统计上呈现的那套独特样态。这一切都不需要你把它们写出来过。ETH Zurich 的工作就是证据：单这一段，已经能从纯文本里暴露位置、收入和性别。

**第二段，搜索与排序。**那些信号变成一道查询，扔向一池候选身份——别的平台、公开档案、泄露的数据集——系统再排出你最可能是谁。这是会规模化的那一步：在数万个候选上做嵌入式搜索很便宜，而且它失效得很温和，数据稀薄时只是把范围收窄，而不是直接崩掉。

**第三段，核验与连接。**一个推理模型拿过最强的几个候选逐一交叉核对——这份 LinkedIn 履历，对得上那些 Reddit 帖子里的爱好吗？时间线对得上吗？——直到只剩一个活下来。在 2026 年那份 preprint 里，正是这一步自主行动，产出了 Hacker News 到 LinkedIn 的匹配。这也是某个安全假设被拿来检验的地方：拒答训练拦得住那种直白的请求——“把这个人去匿名化”——可一旦同样的目标被拆成一连串看着人畜无害的子任务来追，它就远没那么靠得住了。

落到实处的教训是：这条链最强之处，正是你最一致之处。同一个账号、同一套口头禅、跨场景同一种发帖节奏，正是让第二段找到接缝的东西。不一致——刻意制造的不一致——才是斩断它的办法。

为什么一个完美的 Bitcoin 化名，依然算不上匿名

#

**链上隐私和文本推断隐私，是两套不同的威胁模型，解决其中一套的工具，对另一套毫无作用。CoinJoin、Silent Payments 和 Monero 保护的是交易图谱；它们碰不到那些把你的化名连回你本人的论坛帖子、客服工单和社交回复。**这正是我看到 Bitcoin 隐私指南最常漏掉的缺口：它把匿名当成一种链上属性，可对一个具名的化名来说，最廉价的那条攻击，整个都在链下。

不妨想清楚这里的关键。你可以把币与身份之间的连接斩得干干净净——经过 CoinJoin 的 UTXO、每笔付款换一个新地址、处处无 KYC。可如果你同时还经营着一个化名账号，在那里用一种模型能与你别处文字对上的腔调，描述你的节点配置、你的时区、你的种种看法，那这一切就都不算数。上一节那条链根本不读区块链；它读的是你。链分析和文本推断甚至可以并排着跑——一个把你的交易聚成簇，另一个给这个簇按上一个人——但要让链下那一半生效，你并不需要链上那一半。

所以正确的心智模型是相加，而非二选一。链上隐私是必要的，值得去做；它只是对那些把"被点名"算进威胁模型里的人来说，并不充分。如果你维护着一个 Bitcoin 化名，那么下一节里的文本 OPSEC，正是隐私币那场讨论通常落下的那半边功夫。

斩断攻击链：AI 时代的一份区隔操作手册

#

**真正管用的防御，是对准推断链的区隔，而不是对准某一条帖子——让你的各个场景尽量少共用可关联的特征，好让第二段找不到可拼的接缝。**删除不在这份清单上，因为撤掉一条帖子，很少能撤掉那个暴露你的模式；唯一完全立得住的控制，是在发布的那一刻就预防。

1. **把身份分开，每一层都要分。**一个化名的强度，只等于它分得最不彻底的那一层：不同的用户名、不同的邮箱、不同的设备或浏览器配置、不同的网络。共用的基础设施，是所有接缝里最好接的那一道。
2. **让语言指纹多样化。**这是多数人会跳过的那道防御。在不同身份之间变换语域——一个正式、另一个随意——并避开那些会被模型用来聚类你文字的招牌短语、表情符号习惯和标点小动作。把一句让人记得住的口头禅在两个账号间重复使用，就能毁掉其余每一项防范。
3. **让时间随机化。**按你真实时区里固定的每日作息发帖，本身就是一个位置与作息信号。把活动摊开、加些抖动，别让你那个"匿名"账号在你自己的城市里规规矩矩地按点上下班。
4. **任何东西离手之前，先剥掉元数据。**照片里的 EXIF 位置、文档属性、以及一以贯之的 ISP 关联，都是模型乐意拿去坐实的确认项。在源头就把它们去掉。
5. **给化名定个退役时间表。**一个身份活得越久，攒下的可推断历史就越多。对风险更高的人格，定期退役并重建一个账号，能把对手已经堆起来的那条基线重置掉。

这些没有一样是奇技淫巧；合在一起，它们就是"成为论坛里最廉价、最先被解析的那份档案"与"成为这套攻击会跳过的那一份"之间的差别。至于工具那一层——一个无日志 VPN、一个独立邮箱、几样身份分离的小工具——EFF 的 Surveillance Self-Defense 是一份冷静可靠的参考，而原则和本站对自己用的是同一条：用那套真能斩断一条连接的最小工具集，并诚实地把它们公开出来，而不是去追一份清单。

在 AI 之前，这得靠一个人花上大把时间

#

**把究竟变了什么讲清楚，是有用的，因为人人记得的那些上了头条的案子，根本不是 AI——它们是缓慢、手工、人力的活儿。AI 带来的转变，与其说是一种新能力，不如说是抹掉了那些案子当年所需的成本与耐心。**诚实地讲清这些旧事就是重点所在：它们显出当年有多少摩擦在保护你，也因此显出当那层摩擦消失时，你会失去多少。

那位人称 Dream 的主播，2021 年被定位，是因为粉丝把一张厨房照片对上了 Zillow 上的一处房产挂牌——靠人眼、一个公开数据库，全程没有任何推断模型。2022 年针对活动人士 Keffals 的骚扰行动，跑的是手工收集的 OSINT 和一个论坛的集体之力，不是机器。2023 年那起因校园声明而起、针对学生的人肉，靠的是手工的存档检索和付费的定向投放广告。这其中每一起，都耗了有动机的人和实打实的时间。那就是当年让大多数化名得以安全的那道门槛：一个对手得想要到肯花上几个钟头才行。

去匿名化攻击链把这道门槛夷平了。当年一群论坛暴民花上好几天才对一个目标做成的事，如今一个智能体能以每颗人头几美元的代价，朝着整整一个社群去尝试——而且它从不疲倦、从不厌烦。这件事落下来还是不均匀的。冒充、伪造的私密影像、以及从骚扰通向人肉的那条流水线，不成比例地落在女性身上，落在任何招来了蓄意敌手的人身上——这就让抗推断能力，成了关乎身体与名誉安全的事，而不只是数据卫生。上一节里的那些防护，对当年这套又贵又慢的攻击早已盯上的那群人，恰恰最要紧。

结论——你到底需要多少区隔？

#

合适的用力程度，是与"你在防谁"相称的那一档——没有放之四海的单一设置，只有一份威胁模型。

• **如果你没有特定的对手：**杠杆最高的动作是语言上的和时间上的。别在你想分开的账号之间重复使用一个有辨识度的账号名或行文风格，也别按你自己的钟点去发那个"匿名"身份的帖子。至于那些更费事的工具，等你有了理由再上。
• 如果你维护着一个真正的化名——一位创作者、一名写作者、任何不能让真名与化名相连的人：在设备、网络和语言上做到极致的区隔，并假定你隐私里链上那一半，对链下那一半毫无作用。
• 如果你背负不对称的风险——遭受骚扰的女性、活动人士、需要面对公众的职业人士：把语言上的多样化和带外验证当作没得商量的事，并在你需要之前，就为身份退役做好打算。

贯穿这三种处境的，是那条在机器入场之前就成立的同一个真理：事后再怎么删，都换不来可靠的安全。你能做的，只是为你真正面对的那个对手建模，在你守得起的那一环斩断攻击链，并少发布那些机器会乐意留下来的东西。

常见问题

#

AI 真能从匿名帖子里把我去匿名化吗？

#

往往能。靠省略来匿名——把名字从帖子上略去——在推断面前很脆弱，因为模型能从你行文的方式与时机的模式里，推导出位置、雇主等属性，再拿这些信号去与公开档案比对。在同行评审的测试中（Staab 等，ICLR 2024），模型从纯 Reddit 文本里推断个人属性，top-1 准确率最高达 85%。强不可关联性来自区隔——分开的用户名、设备、网络，加上多样化的行文风格——而不是靠不写出你的名字。

删掉旧帖子，能拦住推断吗？

#

大体上不能。撤掉单独一条帖子，很少能撤掉那个暴露你的模式，因为推断依据的是一致的信号——你的行文风格、发帖时间、反复出现的话题——它们散布在你发布过的一切之中。删除在边际上能减少些原始素材，但真正持久的解法，是在发布的那一刻就阻止那个可关联的信号，而不是事后再去打扫。

CoinJoin 或 VPN 能在这件事上保护我吗？

#

它们保护的是另一层。CoinJoin 和隐私币守的是链上交易图谱；VPN 或 Tor 守的是网络层的 IP 关联。它们没有一样能碰到那些被模型读去、用来把化名连回一个人的论坛帖子、客服消息和回复。它们值得用，只是单靠自己并不充分——本文里那套文本 OPSEC，才是互补的另一半。

什么最能抬高去匿名化的代价？

#

语言上和情境上的区隔。去匿名化攻击链最强之处，正是你最一致之处，所以杠杆最高的习惯，是让那些不能相连的身份，别共用一种行文风格、一套发帖作息和共享的基础设施。它毫不光鲜，却正是那件真能把对手的代价，抬到自动化攻击如今所需的那几美元之上的事。

本站另有两条线索与此处直接相连。AI 打破的那四个前提——推断正是其中之一——在AI 时代的 OPSEC：重建你的威胁模型里有完整的地图，而本文就是其中关于推断那一维度的深入剖析。又因为推断吃的是你发布过的一切，关于"什么能真正挺过删除"的那份自查，收在社交媒体数字足迹有多持久？里。当被拿去关联的数据，是从某个机构里被取走、而非由你发布时，相关的手册是当政府泄露你的数据；至于推断被用在职场内部，参见你雇主的 Slack 监控究竟看得到什么。