跳过正文

AI 从一张照片能定位到什么程度(2026)

·543 字·3 分钟
Cora Aegis
作者
Cora Aegis
隐私是权利;工具是我们行使它的方式。
目录
AI-Age OPSEC - 这篇文章属于一个选集。
§ : 本文
一位银发红眸的女子正静静端详着一张街道照片;叠加的青色线条顺着屋顶、阴影和远处的店招延伸,汇向一个红色定位标记

关于资金:CypherpunkGuide 不投放监控型广告——没有广告网络,没有跟踪像素,也没有软文。运营依靠透明的资金来源:现阶段是读者捐赠,将来会加入订阅以及符合编辑方针的联盟推广。我们面向读者,而非广告主。

我用笔名和一张 AI 生成的肖像发表文章,所以对我来说,位置隐私从来不可能只靠一句「别把脸露进画面」就了事。真正让人不安的,是脸背后的那些东西。2025 年 4 月,一位开发者让 OpenAI 的 o3 模型对上一位 GeoGuessr Master——GeoGuessr 是看一张街景就要说出地点的游戏,Master 是其中排名最靠前的人类高手——结果模型以 23,179 比 22,054 胜出,五个回合全部答对国家,还有两次落点误差只有几百米。在同一批测试里,有人在文件元数据里塞了假 GPS 坐标,但 o3 完全没有理会,只凭像素本身就推断出了真实地点。

最后这个细节,才是全部要害。二十年来,照片隐私的标准建议都是「清掉 EXIF」——EXIF 是手机写进照片文件里的拍摄信息,可能带有定位;把其中隐藏的 GPS 标记删掉就是了。针对如今这道题里好办的那一半,这建议没错。难办的那一半在于:机器能读出屋顶、植被、路面标线、太阳的角度、店招上的字体,然后完全不靠元数据就把你定位。Stanford 有个叫 PIGEON 的模型(一个专门从照片推断拍摄地点的模型),认出一张普通照片属于哪个国家的准确率是 91.96%,还在连续六局里赢了一位世界冠军级的 GeoGuessr 选手。在 2025 年的一项基准测试(用来横向比较模型的标准化评测)里,通用的 Gemini 模型答对城市的比例是 64.3%;作为对照的人类只有 1.7%。

所以真正的问题不是「AI 能不能找到你的位置」——它能——而是它能做到之后,你的暴露程度会因此发生什么变化。我把公开的基准测试和 Bellingcat(一家用公开信息做调查的媒体)自己的实操指南通读了一遍,理清定位者是怎么一步步把一张照片收窄到具体地点的,再把这条链子倒过来,变成防守。一句话概括:位置如今从两层泄漏,而这两层的补法不一样。元数据那一层,你可以清干净。看得见的那一层,你只能去管理——控制画面里放了什么、什么时候发出去,就像一名开源情报调查员反着做这道题一样。

一张照片会泄露什么——当 AI 已经能读懂它
#

所谓 AI 地理定位(geolocation,即从照片看得见的内容推断它拍摄于何处),靠的是建筑、植被、路面标线、太阳角度、招牌,而不是任何 GPS 标记。真正要紧的是这个转变:这种能力最近从「需要人类技巧的爱好」跨进了「廉价、快速、自动化的猜测」,而且它面对的是高手,不是新手。下面这些数字来自经同行评审的基准测试和一场经反复复现的人机对决,不是厂商的营销话术。

大多数人低估的,是机器和人之间的差距有多大。在 2025 年的一项学术基准测试里,Gemini 模型的国家级准确率达到 83.7%、城市级 64.3%,而面对同一批照片的人类测试者只有 9.5% 和 1.7%。一个在这件事上很在行的人——有排名的 GeoGuessr 选手——仍然有一战之力,而这恰恰说明了 o3 赢了 Master、PIGEON 横扫冠军为何令人警觉:对手能租到的是上限,不是平均水平。

系统国家级城市级备注
PIGEON(Stanford,2024)91.96%误差中位数约 44 km以 6 比 0 击败 GeoGuessr 冠军
Gemini(2025 基准测试)83.7%64.3%同一基准,人类:9.5% / 1.7%
GPT-4o(2025 基准测试)74.0%63.3%面向大众的模型,同一组人机对照
o3(2025,人机对决)五个回合全对两次误差在几百米内击败人类 Master;无视伪造的 EXIF

有两点得说清楚,免得把话讲满。其一,准确率并不均匀:模型在北美和西欧的表现明显好过那些样本稀少的地区,所以「AI 定位不了我那个小城」有时是真的,但永远不能拿来当依靠。其二,专门工具比通用聊天机器人走得更远。GeoSpy 是 Graylark Technologies 出的商用系统,用数千万张街景图训练过;厂商声称在输入质量好时能精确到街道一级。它的走向本身就是警告:上线之后,有用户发视频让它去定位某些特定女性,于是公司关闭了公开访问,把工具限制给执法、企业和政府客户。这能力真实到,连做它的人自己都不敢把它交给公众用。

调查员是怎么定位一张照片的——以及这为什么帮得到你
#

一名开源情报调查员不需要 AI 也能定位照片;地理定位这门功夫——凭看得见的证据确认一张图拍在哪里——比这些模型早了整整十年。搞懂他们的方法很要紧,因为好的防守就是把他们的方法倒着做一遍:他们搜寻的线索,正是你想从画面里清掉的东西。Bellingcat 这家把这套实践系统化的调查媒体,将它讲成一份按层展开的清单。

这些层从粗到细层层叠加。时间定位(chronolocation)靠影子:把一道影子的长度和方向,对照某个候选日期的太阳位置计算器,就能同时收窄一天里的时刻和纬度。建筑与基础设施收窄国家——电线杆的样式、交通信号灯的形状、路缘石和挡车柱的款式,各个法域各不相同,专门的参照数据库把这些差异编成了目录。植被区分气候与地区。招牌和文字往往直接把一座城市、甚至一条街交出来。而反射——店面的玻璃、汽车后视镜、太阳镜——能暴露镜头本来避开的东西。Bellingcat 对 MH17 车队路线的确认——追踪的是运送导弹的那支车队,这枚导弹后来击落了 2014 年一架飞越乌克兰上空的客机——靠的正是这种叠加:影子分析加地标比对,锁定到一段确切的路。

AI 改变的不是方法,而是成本。人类调查员一张图要花上几个钟头;模型几秒钟就跑完同样的推断,成本只要几分钱,还能一次对准成千上万张图。防守上的结论既精确又让人稍稍松一口气:你不用打败一个天才,你只要把那些能一条条累加的线索拿掉。你封住的每一层——没有招牌、没有辨识度高的天际线、没有反光面、没有毫无遮挡的影子——都是定位者(不管是人还是机器)再也用不上的一层。

位置泄漏的两层
#

下面这个框架,会把其余一切重新组织起来,也是大多数指南含糊带过的地方:一张照片从两个互相独立的层泄漏位置,而其中只有一层是已经解决的问题。把两者混为一谈,正是「我清掉元数据了」让人产生虚假安全感的原因。

第 1 层是元数据——相机写进文件里的 EXIF 数据块,如果当时开着定位服务,里面还带着精确的 GPS 坐标。这一层可以解决。这些数据是离散的,待在文件里一个已知的位置,你能在照片离开设备之前把它彻底删掉。清掉它,那个坐标就干干净净地没了。

第 2 层是内容——看得见的场景本身。这正是视觉模型(会「读」图像的 AI,即 vision-language model,VLM)所读取的东西,而它无法清除,因为它不是附在照片上的;它就是照片。你没法在不删掉画面的前提下删掉那些建筑。当 o3 无视伪造的 GPS 标记、只凭像素定位那张图时,它证明的正是:第 2 层如今能独立成立——对手就算从第 1 层什么都拿不到,手里仍握着整幅看得见的画面。

这就把整套防御重新框定了。第 1 层是个清理问题:每次都做一遍,机械地做。第 2 层是个取景问题:它在你按下快门、按下发布的那一刻就定了,事后没有任何工具能补救你已经发出去的一片天际线。这篇文章接下来把两层分开处理,因为把它们搅在一起,正是那个错误。

「可我清掉元数据了」——那到底解决了什么
#

清掉元数据有必要,但已经不够。它把第 1 层利落地关上,对第 2 层却毫无作用——而且就算在第 1 层内部,大多数人所依赖的平台行为,也比他们以为的要窄。有两个信念需要拆穿:社交平台已经替你处理好了,以及随手一张截图就能把照片洗干净。

大多数主流平台确实会对公开上传的图重新编码,把 EXIF 数据块从其他用户能下载到的那份里去掉——但这些保证是有条件的。截至 2026 年,独立的元数据检测服务报告说,各家 app 有一个一致的例外:「以文档发送」或「以文件发送」模式会绕过重新编码,把一切原样保留,离安全路径只差一次点击,而且没有任何提示。何况,清掉公开的那份,和删除并不是一回事——Meta 自己的隐私政策就写明,会为自身目的在服务器端保留原始图像数据。下面这张表是把实测行为和官方政策综合到一起;把它当作「陷阱在哪里」,而不是对任何一次具体上传的承诺。

路径公开图的 EXIF陷阱
Instagram / Facebook(公开帖)可下载的那份会被清掉原图在服务器端保留;画质更高的私信发送可能不同
X(公开帖)会被清掉内部有保留;定时发布和第三方 API 客户端未经验证
Reddit(原生 i.redd.it重新编码时清掉外部图床(如 imgur 链接)可能保留 GPS
TikTok(发帖)会被清掉app 会用别的方式采集位置;清掉 EXIF 不等于没被追踪
WhatsApp / Signal / Telegram(照片模式)靠压缩清掉「以文档/文件发送」会保留完整 EXIF,且无任何提示

截图这个迷思值得单独写一句,因为搜索引擎一直在推荐它。截图确实会生成一个不带原始 GPS 标记的新文件——这是一个货真价实的第 1 层修补。但它对第 2 层毫无作用:截图里还是同一条街、同一片天际线、同一块店招,模型从截图里读它们,和从原图里读一样准。截图换掉的是文件,而不是画面里的场景。

一套与你的威胁模型相称的防御流程
#

这里没有唯一正确的谨慎程度——合适的流程取决于谁可能在看,以及他们一旦锁定你,能做什么。「永远别在户外发照片」这类一刀切的规矩既没法过日子,对大多数人也没必要;有用的做法是让投入与威胁相称——这正是 EFF 的《监控自卫》(EFF 即电子前哨基金会)所依据的威胁建模逻辑。下面的层级逐级递增:每个人都该做到基线,而每一个更高的层级是在前一层之上叠加,而不是取而代之。

层级之间的分界线是后果。对随手分享的人来说,一张被定位的照片只是隐私上的一道小口子。对公开创作者、或已经在遭受骚扰的女性来说,它是走向一次线下正面接触的一步——而这并非假设,因为 AI 地理定位正助长着 Privacy International 记录在案的 那类跟踪骚扰和亲密伴侣暴力(IPV)的威胁,也正因如此 GeoSpy 的制造者才关上了公开的大门。对活动人士、记者或受虐幸存者而言,一张被定位的画面就可能是一桩人身安全事件。先在这道阶梯上找到自己的位置,再套用对应的那一行。

层级叠加这些习惯
基线(所有人)随手分享的人上传前在本地清掉 EXIF(别指望平台);绝不实时发出家、公司或孩子学校的位置;记住截图并不安全
进阶公开身份、创作者、任何正在遭受骚扰的人延后发布,让「此刻在这里」变成「上周在这里」;清理背景——窗户、反光、车牌、辨识度高的天际线;避开反复出现的固定地点
高危活动人士、记者、IPV 幸存者、举报人假定任何发出去的照片都能被永久定位;在发布之前而不是之后,做一遍「这幅画面暴露了什么」的审查;单独留一台设备和一个账号区隔,永远不装带位置信息的图像

有三种技巧需要老实贴上标签,免得你过度信任它们。清掉 EXIF 最好在本地机械地做——命令行工具 ExifTool 一遍就能把一切删干净(exiftool -all= photo.jpg),而且因为它在你自己机器上跑,照片始终不离开本地。延后发布 能挫败实时泄漏——也就是对手得知你此刻在哪——但对事后回溯的分析毫无作用,因为无论什么时候去查,那背景照样会解析出一个地点。而给背景打码 比看上去要弱:轻度模糊可以被 deblurring(把模糊复原的处理)部分还原,所以老实的选项是重度像素化,或者干脆不把那样东西拍进来。按每种技巧所针对的给它命名,你就不会再把「我做了点什么」误当成「我安全了」。

归根结底——你到底该做多少
#

对大多数人来说,整套流程可以归结为两个习惯:把在本地清掉元数据变成条件反射,以及别再实时发出你会反复回去的那些地方——家、公司、接送孩子的路。这就把第 1 层彻底关上,也让第 2 层拿不到它最值钱的那条线索:一个对手可以据以行动的固定地点。在这之上的一切都取决于威胁模型,而需要高危层级的人,通常早就知道自己是谁。

真正持久的,是思路上的转变。旧问题——「我记得关掉地理标记了吗?」——是个第 1 层的问题,而一旦 ExifTool 成了习惯,第 1 层几乎是自动完成的。如今能保护你的,是一个第 2 层的问题:这幅画面透露了我在哪,我愿意把它交给一个想找到我的陌生人吗? 我在一张照片发出去之前审查它时,只问这一个问题,因为这是唯一一个问题——机器已经能替我回答,而我再也拦不住了。

常见问题
#

清掉 EXIF 数据能藏住我的位置吗?
#

只解决了一半问题。删掉 EXIF 会抹去相机嵌入的那个精确 GPS 坐标——这是真实而值得做的一步。但如今的视觉模型完全不靠元数据,也能从看得见的场景——建筑、植被、太阳角度、招牌——推断出位置。在有记录的测试里,OpenAI 的 o3 在照片的 GPS 标记被换成假坐标之后,依然定位到了它们。把清掉元数据当作基线动作,然后把照片真正的内容当成更难、尚未解决的那一层来对待。

发截图而不是原图,安全吗?
#

截图会去掉原始的 EXIF,所以它关上了元数据这一层——但它对图像本身毫无改变。街道、天际线、任何看得清的招牌都还在画面里,而 AI 从截图里读它们,和从原始文件里读一样准。截图换掉的是文件,而不是画面里的场景;它不是一种地理定位防御。

AI 定位照片真的能比人强吗?
#

是的,而且强过的是高手,不只是新手。Stanford 的模型 PIGEON 认出照片所属国家的准确率是 91.96%,还在六局里赢了一位世界冠军级的 GeoGuessr 选手。在 2025 年的一项基准测试里,Gemini 模型的城市级准确率达到 64.3%,而人类测试者只有 1.7%。准确率因地区而不均匀,但那个上限——一个铁了心的对手能租到的能力——非常高。

给背景打码能保护我吗?
#

只有打得够重才行。轻度模糊或低强度的像素化,可以被 deblurring(复原模糊的技术)部分还原,把文字和细节找回来。如果背景里某样东西会暴露你的位置——一块路牌、一栋有辨识度的建筑、一处反光——可靠的选项是重度像素化,或者干脆不把它拍进画面,而不是一层柔和的模糊。

单个价值最高的习惯是什么?
#

别再发出你反复出没的现实地点——家、工作单位、孩子的学校、你按固定时间去的健身房——尤其别实时发。一张一次性的度假照片,风险小于一个对手可以据以行动的固定规律。再配上上传前在本地清掉 EXIF,你就关上了元数据这一层,也让内容那一层拿不到它最可操作的线索。

#来源URL存档
1Privacy International — “Nowhere to Hide? Privacy Risks and Policy Implications of AI Geolocation” (2026)https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocationhttps://web.archive.org/web/*/https://privacyinternational.org/report/5736/nowhere-hide-privacy-risks-and-policy-implications-ai-geolocation
2Haas et al. — “PIGEON: Predicting Image Geolocations” (Stanford, CVPR 2024)https://arxiv.org/abs/2307.05845https://web.archive.org/web/*/https://arxiv.org/abs/2307.05845
3Huang et al. — “AI Sees Your Location, But With A Bias Toward The Wealthy World” (VLMs as GeoGuessr Masters, arXiv, 2025)https://arxiv.org/abs/2502.11163https://web.archive.org/web/*/https://arxiv.org/abs/2502.11163
4Sam Patterson — “Can o3 beat a GeoGuessr Master?” (2025)https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/https://web.archive.org/web/*/https://sampatt.com/blog/2025-04-28-can-o3-beat-a-geoguessr-master/
5Simon Willison — “o3 beats a GeoGuessr master” (2025)https://simonwillison.net/2025/Apr/28/o3-geoguessr/https://web.archive.org/web/*/https://simonwillison.net/2025/Apr/28/o3-geoguessr/
6Bellingcat — “Using the Sun and the Shadows for Geolocation” (2020)https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/https://web.archive.org/web/*/https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/
7TechNADU — “GeoSpy Sparks Privacy Concerns After Public Misuse” (2025)https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/https://web.archive.org/web/*/https://www.technadu.com/ai-powered-tool-geospy-sparks-privacy-concerns-after-public-misuse/570730/
8Electronic Frontier Foundation — Surveillance Self-Defensehttps://ssd.eff.org/https://web.archive.org/web/*/https://ssd.eff.org/
9Meta — Privacy Policy (image metadata retention)https://www.facebook.com/privacy/policy/https://web.archive.org/web/*/https://www.facebook.com/privacy/policy/

这篇文章专门讲照片,是本站同一脉络里的一篇。同样的机器推断,用在你的文字而非图像上,《AI 去匿名化:推断如何瓦解你的匿名》里梳理过;而 AI 在你整个威胁模型上打破的那些假设,《AI 时代的 OPSEC:重建你的威胁模型》里有铺陈。因为一张被定位的照片一旦发出就收不回来,关于删除之后到底还剩下什么的审查,写在《你的社交媒体足迹有多难消除?》里。至于同一种威胁瞄准的是你的身体而非背景,见《你的声音和面孔如今就是凭证》;而这些技术如何汇聚到一个真实目标身上,见《主播是怎么被人肉的——以及笔名操作手册》

AI-Age OPSEC - 这篇文章属于一个选集。
§ : 本文

相关文章