LLM을 이용한 대규모 온라인 익명 해제

Large-scale online deanonymization with LLMs

본 연구에서는 대규모 언어 모델(LLM)이 대규모 익명 해제에 활용될 수 있음을 보여줍니다. 인터넷에 완전히 접속된 시스템은, 가명 온라인 프로필과 대화 기록만으로 Hacker News 사용자 및 Anthropic 인터뷰 참여자를 높은 정확도로 재식별할 수 있으며, 이는 숙련된 인간 조사원이 수행하는 데 몇 시간이나 걸리는 작업을 자동화합니다. 또한, 폐쇄 환경에서의 공격 방법을 설계합니다. 가명 개인의 데이터를 담은 두 개의 데이터베이스가 주어질 때, 각 데이터베이스에는 해당 개인의 글이나 그에 대한 비정형 텍스트가 포함되어 있습니다. 저희는 LLM을 사용하여 다음과 같은 단계를 수행하는 확장 가능한 공격 파이프라인을 구현합니다. (1) 개인 식별에 관련된 특징을 추출하고, (2) 의미론적 임베딩을 통해 후보 매치를 검색하고, (3) 상위 후보에 대해 추론하여 매치를 확인하고 오탐을 줄입니다. 기존의 익명 해제 연구(예: Netflix Prize)는 정형 데이터나 수동 특징 엔지니어링을 필요로 했지만, 저희의 접근 방식은 다양한 플랫폼에서 사용자의 원본 콘텐츠를 직접적으로 활용합니다. 저희는 공격 성능을 평가하기 위해 알려진 정답 데이터를 포함하는 세 개의 데이터 세트를 구축했습니다. 첫 번째 데이터 세트는 Hacker News와 LinkedIn 프로필을 연결하며, 프로필에 나타나는 플랫폼 간 참조를 사용합니다. 두 번째 데이터 세트는 Reddit의 영화 관련 커뮤니티에서 사용자를 매칭하고, 세 번째 데이터 세트는 하나의 사용자의 Reddit 기록을 시간적으로 분할하여 두 개의 가명 프로필을 생성하고 매칭합니다. 각 설정에서 LLM 기반 방법은 기존 방법보다 훨씬 뛰어난 성능을 보이며, 최상의 비-LLM 방법의 경우 거의 0%인 반면, 최대 90%의 정확도를 가진 68%의 재현율을 달성합니다. 저희의 결과는 온라인에서 가명 사용자를 보호하는 실질적인 보안 수준이 더 이상 유지되지 않으며, 온라인 개인 정보 보호에 대한 위협 모델을 재고해야 함을 시사합니다.

We show that large language models can be used to perform at-scale deanonymization. With full Internet access, our agent can re-identify Hacker News users and Anthropic Interviewer participants at high precision, given pseudonymous online profiles and conversations alone, matching what would take hours for a dedicated human investigator. We then design attacks for the closed-world setting. Given two databases of pseudonymous individuals, each containing unstructured text written by or about that individual, we implement a scalable attack pipeline that uses LLMs to: (1) extract identity-relevant features, (2) search for candidate matches via semantic embeddings, and (3) reason over top candidates to verify matches and reduce false positives. Compared to prior deanonymization work (e.g., on the Netflix prize) that required structured data or manual feature engineering, our approach works directly on raw user content across arbitrary platforms. We construct three datasets with known ground-truth data to evaluate our attacks. The first links Hacker News to LinkedIn profiles, using cross-platform references that appear in the profiles. Our second dataset matches users across Reddit movie discussion communities; and the third splits a single user's Reddit history in time to create two pseudonymous profiles to be matched. In each setting, LLM-based methods substantially outperform classical baselines, achieving up to 68% recall at 90% precision compared to near 0% for the best non-LLM method. Our results show that the practical obscurity protecting pseudonymous users online no longer holds and that threat models for online privacy need to be reconsidered.