약한 단서에서 실제 신원까지: LLM 에이전트에서의 추론 기반 익명화 해제 평가

From Weak Cues to Real Identities: Evaluating Inference-Driven De-Anonymization in LLM Agents

익명화는 과거에는 실제 신원을 파악하는 데 상당한 비용이 들었기 때문에, 즉 전문 지식, 맞춤형 알고리즘 및 수동 검증이 필요했기 때문에 실용적인 안전 장치로 널리 간주되었습니다. 본 연구에서는 이러한 장벽을 약화시킬 수 있는 새로운 개인 정보 보호 위험을 조사합니다. LLM 기반 에이전트는 분산되어 있고 개별적으로는 식별 불가능한 단서로부터 실제 신원을 자율적으로 재구성할 수 있습니다. 이러한 희소한 단서를 공개 정보와 결합하여, 에이전트는 맞춤형 엔지니어링 없이도 신원을 파악합니다. 우리는 이러한 위협을 '추론 기반 연결(inference-driven linkage)'로 공식화하고, 세 가지 환경에서 체계적으로 평가합니다. 즉, 기존의 연결 시나리오(넷플릭스 및 AOL), 'InferLink'(작업 의도, 공유 단서 및 공격자 지식을 다양하게 변경한 제어 벤치마크), 그리고 현대적인 텍스트가 풍부한 자료입니다. 작업 특정 휴리스틱 없이도, 에이전트는 고정된 풀 매칭과 개방형 신원 해결 모두를 성공적으로 수행합니다. 넷플릭스 프라이즈 환경에서, 에이전트는 79.2%의 신원을 재구성했으며, 이는 56.0%의 기존 기준을 크게 능가하는 결과입니다. 더욱이, 연결은 명시적인 적대적 프롬프트뿐만 아니라, 'InferLink'에서의 양성적인 교차 소스 분석 및 비정형 연구 내러티브에서도 부수적으로 발생합니다. 이러한 결과는 신원 추론이 명시적인 정보 공개가 아닌, 핵심적인 개인 정보 보호 위험으로 간주되어야 함을 보여줍니다. 평가에서는 에이전트가 추론할 수 있는 신원의 범위를 측정해야 합니다.

Anonymization is widely treated as a practical safeguard because re-identifying anonymous records was historically costly, requiring domain expertise, tailored algorithms, and manual corroboration. We study a growing privacy risk that may weaken this barrier: LLM-based agents can autonomously reconstruct real-world identities from scattered, individually non-identifying cues. By combining these sparse cues with public information, agents resolve identities without bespoke engineering. We formalize this threat as \emph{inference-driven linkage} and systematically evaluate it across three settings: classical linkage scenarios (Netflix and AOL), \emph{InferLink} (a controlled benchmark varying task intent, shared cues, and attacker knowledge), and modern text-rich artifacts. Without task-specific heuristics, agents successfully execute both fixed-pool matching and open-ended identity resolution. In the Netflix Prize setting, an agent reconstructs 79.2\% of identities, significantly outperforming a 56.0\% classical baseline. Furthermore, linkage emerges not only under explicit adversarial prompts but also as a byproduct of benign cross-source analysis in \emph{InferLink} and unstructured research narratives. These findings establish that identity inference -- not merely explicit information disclosure -- must be treated as a first-class privacy risk; evaluations must measure what identities an agent can infer.