
关于资金:CypherpunkGuide 不投放监控型广告——没有广告网络,没有跟踪像素,也没有软文。运营依靠透明的资金来源:现阶段是读者捐赠,将来会加入订阅以及符合编辑方针的联盟推广。我们面向读者,而非广告主。下文提到的那款审计工具是免费且开源的。
我用化名写作。本文的姊妹篇AI 去匿名化:推断如何瓦解你的匿名讲的是模型怎样把散落的帖子拼成一个名字,以及今后该如何把身份分隔开。这一篇要谈的,是预防管不到的另一半:你已经发出去、积了好几年的帖子。这份存档此刻就摆在公开的地方,而它恰恰就是攻击者会去读的那份语料。该问的不是"我从现在起会怎样谨慎发帖",而是"我过去说过的这一切,加在一起到底意味着什么"——要知道答案,唯一的办法就是用机器的眼光去看它。
好消息是,你做得到。你自己的数据导出,只有你才拉得出来;而像攻击者那样去读它,是一门可以学会的本事,并非什么秘技。坏消息是,最顺手的那种读法——粘进一个 AI,问它"这暴露了我什么?"——恰恰也最可能把事情弄得更糟。原因后面再说。先说一件你置身自己的时间线之中、永远察觉不到的事。
那幅拼图,正是你察觉不到的部分#
**真正的危险不是某一条不慎的帖子,而是它们的总和。身份的重新识别,靠的是把许多单看都无害的信号一层层叠起来——一段通勤、一个俚语词、一个时间戳——直到它们交汇到同一个人身上。这就是"马赛克效应"(许多无害的碎片拼合起来,便显出完整的图像),而你置身于自己的信息流之中,根本察觉不到它,因为每一块碎片单看都无伤大雅。**这套手法很老了。2000 年,Latanya Sweeney 证明:仅凭三项公开信息——邮编、性别、出生日期——就足以一一锁定约 87% 的美国人(数据取自 1990 年人口普查;2006 年的一次重新分析把这个比例修正到约 63%,但无论哪个数字,规律都成立)。2006 年,《纽约时报》一名记者仅凭检索日志,就点出了一名"匿名"AOL 搜索用户的真实身份;2008 年,研究者把 Netflix “匿名化"的评分与公开的 IMDb 影评交叉比对,重新认出了它的用户。这些都没用到 AI,靠的全是信息聚合。
AI 改变的,是价格。在一项发表于 ICLR 2024 的同行评审研究《Beyond Memorization》里,ETH Zurich 的研究者证明:现成的模型能从寻常的 Reddit 文本里推断出位置、职业、性别、收入这类属性,八项属性平均下来的 top-1 准确率约为 85%(不同属性之间差异很大),代价却比人工调查员便宜约 100 倍、快约 240 倍。更新的研究把这件事产业化了:AutoProfiler(Du 等,ACL 2026)跑的是一条四智能体流水线——它经由平台 API 抓取一个化名账号的发帖历史,自动拼出一份档案,“以全网规模"运转。要害不在于哪一条帖子单独就把你起了底,而在于:机器如今耗得起这份功夫,把全部帖子凑在一起读,看出那个你永远看不出的交汇点。
在 X 上,泄露的往往不是文字#
**在 Reddit 上,那幅拼图大多由文字拼成;在 X 上,它大多由元数据拼成——而"只盯文字"的思维方式,是一种危险的自我安慰。你自己填的位置字段、你的发帖时段、你照片里的 EXIF(照片内嵌的拍摄元数据)、你贴出去的外链、以及你回复了谁,往往比你真正写下的任何文字都更说明问题。**一个化名账号可以对自己的字句小心翼翼,却仍然从字句周围那些附带信息里露了底。发帖时段扎堆是最清楚的例子:如果你那个"匿名"账号总是按上班时间活动,那么你发帖时刻的分布,就悄悄交出了你的时区,连同你一天里醒着的那段作息。
照片比人们以为的更糟,而且分两层。多数平台会把公开上传图片里的 EXIF GPS 信息剥掉——但并非每条路径都剥(私信、某些 API 和定时发布工具、以及聊天的"文件"模式,都可能把它保留下来),所以较早发布的图片视频值得回头查一遍。再者,哪怕 GPS 标签已经没了,画面本身也会暴露地点:2024 年的一项研究《Image-Based Geolocation Using Large Vision-Language Models》发现,视觉语言模型仅凭图像内容就能给照片定位——在五万张图片的 GeoGuessr 式比拼中,胜出率达 85.37%,有时能精确到 0.3 公里以内。剥掉元数据是必需的,但这还不是全部功课。
| 元数据层(多见于 X) | 它悄悄暴露了什么 | 在你的导出里去哪儿看 |
|---|---|---|
| 自填的"位置"字段 | 一处真实地区,藏在你自己的措辞里 | profile.js / 你的简介 |
| 发帖时间戳 | 时区与每日作息 | tweets.js 里的 created_at |
| 照片的 EXIF + 画面内容 | 确切地点;设备;甚至无需 EXIF 也能定位 | tweets_media/ 里的图片 |
| 外链 | 你的其它站点与身份 | 帖子里的 URL 字段 |
| 回复与提及 | 那张早已认识你的社交图谱 | 提及(mention)字段 |
像对手那样,去读你自己的历史#
**这场审计是一次刻意的反转:别再像一个追忆往昔的人那样读你的时间线,而要像一个正在搜寻猎物的陌生人那样读它。拉取你完整的数据导出,然后一类一类地过,问的不是"这条丢不丢人”,而是"这条把我锁定得更准了多少”。**你可以向 Reddit 申请你的数据(设置 → 隐私 → 申请一份副本),也可以向 X 申请(设置 → 你的账号 → 下载存档)。两者给你的都是一份结构化的文件,可以离线阅读。然后照着下面这些类别去逐项排查——而且要掂量那些微弱的信号,不只是那些显眼的,因为那幅拼图正是由微弱信号搭起来的。
一个有用的原则:判断每一处发现,要看它对风险的贡献,而不是看它单独拿出来时显得多么暴露。有二十八条帖子各自都提到某个街区地标,这远比仅有一条帖子点过一次你雇主的名字更麻烦,因为那二十八条会彼此交汇。要去找那些成簇出现、前后一致的东西——同一个账号名、同一套口头禅、同一个早上七点的发帖时段——因为一致性,正是后面"搜索并比对"那一步用来找到接合点的线索。
| 类别 | 在你自己的历史里搜什么 | 怎样把它弱化 |
|---|---|---|
| 位置 | 通勤、本地活动、“在……附近”、街区地标、带地理标签的照片 | 泛化到大区域;剥掉或跳过照片 EXIF;把简介字段写得粗略些 |
| 雇主/收入 | 职位 + 团队规模 + 技术栈、“我们在招人”、薪资或持仓的暗示 | 舍掉那个有辨识度的组合;别用本账号发招聘帖 |
| 家人 | 孩子的年龄和学校、伴侣、作息 | 删掉具体信息;切记,亲属并未同意让人找到他们 |
| 作息 | 固定的每日时点、“每个工作日”、发帖时段的扎堆 | 让时间错开;绝不要让化名按你真实的钟点活动 |
| 身份关联 | 复用的账号名、指向个人站点的链接、EXIF 里的设备型号 | 别复用账号名;删掉指向个人的外链;剥掉设备标签 |
这场隐私审计,反倒会把你去匿名化#
**这里有个陷阱,而几乎没人点破它。要审计自己的历史,最顺手的办法就是把它粘进一个能力很强的 AI,问它暴露了什么。可是,如果你要检查的那个账号,是你刻意与法律真名隔开的一个化名——而你求问的那个 AI,登录的又是你的真实身份——那你刚刚就把你本想隔开的那条关联的两端,一并交给了同一家公司。审计本身,反倒成了那道泄露。**好好想一想。一家云服务商如今在你的真名账号之下,握有你那个"匿名"人格的完整发帖历史,还附带一条提示词,明明白白地问这两者是怎么连上的。这条关联,日后可能因一纸传票、一次数据泄露、或一名内部人员而浮出水面——正是你做这场审计本想预防的那种失败,只不过这回是你亲手造成的。
这并不意味着云端 AI 一概碰不得。风险是有条件的。如果你审计的是自己的真名公开账号,那就没有任何匿名身份会暴露,去匿名化的风险也就无从谈起——不过,把一份完整导出发给任何云服务,仍然意味着第三方会按它自己的条款处理这些内容,所以先看清你这份导出里都有些什么。真正棘手的危险,专出在匿名账号配上真名 AI 账号这一组合上。碰到这种情形,就把分析留在别人看不到的地方。
| 你审计的若是…… | 云端 AI(真名账号) | 本地模型(离线) |
|---|---|---|
| 你的真名/公开账号 | 没有去匿名化风险——仍要先检查导出内容 | 可以,只是慢一些 |
| 一个你严格隔开的化名 | 请避开——它会造出"真名↔化名"那条关联 | 推荐——没有任何东西离开你的机器 |
这场审计真正干净的做法,是在本地完成:用一款开源、本地优先的工具解析你的导出,按类别报告它泄露了什么——全程不把你的帖子发往任何地方,也不会把一份关于你的档案写进磁盘。(我正是为此做了一款;发布后会把链接放在这里。)如果你非得在一个敏感账号上用云端模型,那就在其条款允许的范围内,挑一家从产品设计上就支持加密货币付款、且几乎不需要暴露身份的服务,而不是那个绑着你真名和银行卡的主流账号。截至 2026 年 6 月,比如 OpenRouter 提供一个兼容 OpenAI 的 API,可用 USDC 付款,注册只需一个邮箱或一个钱包;Venice 主打隐私,提供一条无需账号、按次用加密货币付款的路径和一个兼容 OpenAI 的 API——两者都能直接接到本工具的云端选项上。但这些都算不上真正的匿名:钱包、邮箱、网络元数据仍可能留下痕迹,你的提示词依然会送到第三方手里(若用 OpenRouter 这样的中转,还会送到它背后的模型供应商),而且这些隐私说法大多是厂商自述,并未经过第三方审计。请查清每家服务的现行条款——并记住,唯一什么都不外发的做法,终究是在本地运行。
拿你找到的东西,该怎么办#
**忍住一删了之的冲动。删掉一条帖子,很少能删掉那个暴露你的模式;而且删除并不等于抹除:存档、搜索缓存、截图、以及别人手里的副本,在你按下按钮之后还会留存很久。**更见效的一招,是把那些贡献最大的条目泛化、改写——把"我家附近那班 8:07 的渡轮"改成"我的通勤"——再改变你从今往后发布的内容。想完整了解一次删除之后究竟还有什么会留下来,见社交媒体数字足迹有多持久?;至于预防那一侧——把各个身份分隔开,让那幅拼图无处可拼——操作手册在AI 去匿名化里,而如何更全面地重建这些前提假设,则在AI 时代的 OPSEC中给出。
有必要老实说说它的局限。一场针对你自己导出的审计,是一道闭集练习:它只看得见你提供的那部分,看不到对手所凭借的那个开放世界——数据掮客(买卖个人数据的公司)、各种泄露、那张回复关系图、你在各个平台间一致的行文风格。2025 年一项针对 240 人的研究(Wang 等)发现:用户判断自己的哪些片段有风险,仅仅比随机猜略好一点;而他们的改写,只在 28% 的情形里真正降低了推断。所以,把这场审计当作风险的降低,而非一张健康证明——并且在你改完之后再查一遍,因为分数降下来,是一处改动确实奏效的唯一证据。
这件事,对谁最要紧#
**抗推断能力,对多数人是数据基本功,对某些人却关乎人身安全。这种事后的审计,对那些对手早有动机去寻找的人最要紧。**以骚扰为目的的人肉/起底(doxxing)、冒名顶替、以及伪造的影像,落在女性身上的比例格外高;而同一种事后暴露,也威胁着遭受虐待的幸存者、身处敌意环境中的 LGBTQ 群体、异见者、以及记者的消息源——也就是任何这样一种人:一条被遗忘的旧帖,对他如今正构成实实在在的风险。主播是怎样被人肉的里那些案例,把这套模式摆在了明处;如果那正是你的威胁模型,那么这场审计就不是可有可无的整理,而是你该排进日程的例行维护。
常见问题#
我该怎样拿到要审计的 Reddit 和 X 发帖历史?#
向每个平台各申请一份导出。在 Reddit 上:设置 → 隐私与安全 → “申请一份你的数据副本”,你会拿到 CSV 格式的评论和帖子文件。在 X 上:设置 → 你的账号 → “下载一份你的数据存档”,你会得到一个文件夹,里面有 tweets.js、account.js、profile.js 以及一个 tweets_media 图片文件夹。两者都让你离线读完自己的全部历史——而离线,正是分析它的安全方式:你不必为了看一眼,就把它交到第三方手里。
让 ChatGPT 或别的云端 AI 帮我检查帖子,安全吗?#
这完全取决于账号。如果你审计的是真名或公开档案,那就没有匿名身份会被暴露,用云端模型没问题。如果你审计的是一个与法律真名隔开的化名,那么把它的历史发给一个登录着你真实身份的 AI,就会在那家服务商的服务器上,把这两者连到一起——正是你本想预防的那种去匿名化。对这种情形,请用一个本地、离线的模型,或者一个匿名开通、匿名付费的云端账号。
我是不是干脆把旧帖子都删了算了?#
通常别一概删光。删掉一条帖子,很少能删掉那个暴露你的模式;而且删除并不等于抹除——存档、缓存、截图都会留存,平台也会在自己的服务器上把删掉的内容保留一段时间(比如 Reddit,大约 90 天),这段时间里它仍然够得着法律程序。更见效的一招,是把那些风险最高的条目泛化或改写(把一个确切的时间地点,改成一个含糊的说法),并改变你从今往后发布的内容。改完之后再审计一遍,确认这处改动确实降低了你的暴露。
我把照片的 EXIF 剥掉,是不是就万事大吉了?#
剥掉 EXIF——这是必需的——但只做这一步并不够。视觉语言模型仅凭画面内容,在完全没有元数据的情况下,就能给一张照片定位(Liu 等,2024 发现,有时能精确到 0.3 公里以内)。哪怕每一个标签都已删除,一间店面、一道天际线、一块交通指示牌、或窗外的一角景致,仍能暴露出一张图像的拍摄地点。要把背景——而不只是元数据——也算作一张照片会透露的信息的一部分。
AI 在这件事上,到底有多准?#
准到值得你认真对待,也便宜到能拿去对所有人都跑一遍。经过同行评审的研究(Staab 等,ICLR 2024)测得 GPT-4 从纯 Reddit 文本里推断属性,八项属性类别平均下来的 top-1 准确率约为 85%(不同属性之间差异很大);2026 年一份预印本(preprint,尚未经过同行评审)则把一组 Hacker News(技术社区)用户样本中约三分之二的人,以 90% 的精度匹配到了他们真实的 LinkedIn 档案,每人代价约一到四美元。这些数字会随任务而变,也并不完美——但过去保护着你的那道摩擦,那个要花上好几个钟头的人,已经不在了。
| # | 来源 | URL | 存档 |
|---|---|---|---|
| 1 | Staab 等——《Beyond Memorization: Violating Privacy via Inference with LLMs》(ICLR 2024) | https://arxiv.org/abs/2310.07298 | https://web.archive.org/web/*/https://arxiv.org/abs/2310.07298 |
| 2 | Du 等——《Automated Profile Inference with Language Model Agents》/AutoProfiler(ACL 2026 Findings) | https://arxiv.org/abs/2505.12402 | https://web.archive.org/web/*/https://arxiv.org/abs/2505.12402 |
| 3 | Lermen 等——《Large-scale online deanonymization with LLMs》(arXiv preprint,2026) | https://arxiv.org/abs/2602.16800 | https://web.archive.org/web/*/https://arxiv.org/abs/2602.16800 |
| 4 | Liu 等——《Image-Based Geolocation Using Large Vision-Language Models》(2024) | https://arxiv.org/abs/2408.09474 | https://web.archive.org/web/*/https://arxiv.org/abs/2408.09474 |
| 5 | Wang 等——《Beyond PII: How Users Attempt to Estimate and Mitigate Implicit LLM Inference》(2025) | https://arxiv.org/abs/2509.12152 | https://web.archive.org/web/*/https://arxiv.org/abs/2509.12152 |
| 6 | Electronic Frontier Foundation——Surveillance Self-Defense | https://ssd.eff.org/ | https://web.archive.org/web/*/https://ssd.eff.org/ |


