By George Curta · Last updated 2026-04-07
การวิจัยการโจมตีความเป็นส่วนตัว LLM
บทความวิจัย 12 ฉบับที่ผ่านการตรวจสอบโดยเพื่อน แสดงให้เห็นว่าเหตุใดความเป็นนิรนามเทียมจึงล้มเหลวต่อ AI
การขจัดความเป็นนิรนาม การแยกข้อมูล PII การอ้างอิงการเป็นสมาชิก การโจมตีการฉีดหนังสือชี้แจง — และวิธีการป้องกัน
หมวดหมู่การโจมตีความเป็นส่วนตัว
การขจัดความเป็นนิรนาม
LLM จับคู่โพสต์ที่ไม่ระบุชื่อกับตัวตนที่แท้จริงโดยใช้สไตล์การเขียน ข้อเท็จจริง และรูปแบบชั่วคราว ความถูกต้อง 68% ที่ $1-$4 ต่อโปรไฟล์
การอ้างอิงแอตทริบิวต์
LLM อ้างอิงถึงแอตทริบิวต์ส่วนบุคคล (ตำแหน่ง รายได้ อายุ) จากข้อความแม้ว่าไม่ได้ระบุไว้ GPT-4 บรรลุความถูกต้อง top-1 85%
การแยกข้อมูล PII
การแยกข้อมูลส่วนบุคคลจากข้อมูลการฝึกสอนหรือหนังสือชี้แจง ความถูกต้องของการแยกอีเมล 100% ด้วย GPT-4 เพิ่มขึ้น 5 เท่าด้วยการโจมตีขั้นสูง
การฉีดหนังสือชี้แจง
การจัดการตัวแทน LLM เพื่อรั่วไหลข้อมูลส่วนบุคคลในระหว่างการดำเนินงาน อัตราความสำเร็จของการโจมตี ~20% ในสถานการณ์การธนาคาร
Large-scale online deanonymization with LLMs
Simon Lermen (MATS), Daniel Paleka (ETH Zurich), Joshua Swanson (ETH Zurich), Michael Aerni (ETH Zurich), Nicholas Carlini (Anthropic), Florian Tramèr (ETH Zurich)
Published: February 18, 2026
การค้นพบหลัก
68% recall at 90% precision for deanonymization using ESRC framework
วิธีวิทยา
Designed attacks for closed-world setting with scalable attack pipeline using LLMs to: (1) extract identity-relevant features, (2) search for candidate matches via semantic embeddings, (3) reason over top candidates to verify matches and reduce false positives.
กรอบการทำงาน ESRC
LLM แยกข้อเท็จจริงที่ระบุตัวตนจากโพสต์ที่ไม่ระบุชื่อ
ใช้ข้อเท็จจริงในการค้นหาฐานข้อมูลสาธารณะ (LinkedIn เป็นต้น)
LLM ให้เหตุผลเกี่ยวกับการจับคู่ผู้สมัคร
การให้คะแนนความเชื่อมั่นเพื่อลดผลบวกลวง
ผลการทดลอง
| ชุดข้อมูล | การเรียกคืน @ ความถูกต้อง 90% | หมายเหตุ |
|---|---|---|
| Hacker News → LinkedIn | 68% | vs near 0% for classical methods |
| Reddit cross-community | 8.5% | Multiple subreddits |
| Reddit temporal split | 67% | Same user over time |
| Internet-scale (extrapolated) | 35% | At 1M candidates |
ความหมาย
Practical obscurity protecting pseudonymous users online no longer holds. Classical methods achieve near 0% recall under same conditions.
บทความวิจัยทั้งหมด
การศึกษาวิจัย 11 ฉบับเพิ่มเติมที่ผ่านการตรวจสอบโดยเพื่อนเกี่ยวกับการโจมตีความเป็นส่วนตัว LLM
Beyond Memorization: Violating Privacy via Inference with Large Language Models
Robin Staab, Mark Vero, Mislav Balunović, และคนอื่นๆ (ETH Zurich)
85% top-1 accuracy inferring personal attributes from Reddit posts
First comprehensive study on LLM capabilities to infer personal attributes from text. GPT-4 achieved highest accuracy among 9 tested models.
การค้นพบหลัก
- •85% top-1 accuracy, 95% top-3 accuracy at inferring personal attributes
- •100× cheaper and 240× faster than human annotators
- •Tested 9 state-of-the-art LLMs including GPT-4, Claude 2, Llama 2
- •Infers location, income, age, sex, profession from subtle text cues
AutoProfiler: Automated Profile Inference with Language Model Agents
Yuntao Du, Zitao Li, Bolin Ding, และคนอื่นๆ (Virginia Tech, Alibaba, Purdue University)
85-92% accuracy for automated profiling at scale using four specialized LLM agents
Framework using specialized LLM agents (Strategist, Extractor, Retriever, Summarizer) for automated profile inference from pseudonymous platforms.
การค้นพบหลัก
- •Four specialized agents: Strategist, Extractor, Retriever, Summarizer
- •Iterative workflow enables sequential scraping, analysis, and inference
- •Outperforms baseline FTI across all attributes and LLM backbones
- •Short-term memory for Extractor/Retriever, long-term memory for Strategist/Summarizer
Large Language Models are Advanced Anonymizers
Robin Staab, Mark Vero, Mislav Balunović, และคนอื่นๆ (ETH Zurich SRI Lab)
Adversarial anonymization reduces attribute inference from 66.3% to 45.3% after 3 iterations
LLMs can be used defensively in adversarial framework to anonymize text. Outperforms commercial anonymizers in both privacy and utility.
การค้นพบหลัก
- •Adversarial feedback enables anonymization of significantly finer details
- •Attribute inference accuracy drops from 66.3% to 45.3% after 3 iterations
- •Evaluated 13 LLMs on real-world and synthetic online texts
- •Human study (n=50) showed strong preference for LLM-anonymized texts
AgentDAM: Privacy Leakage Evaluation for Autonomous Web Agents
Arman Zharmagambetov, Chuan Guo, Ivan Evtimov, และคนอื่นๆ (Meta AI, CMU)
GPT-4, Llama-3, and Claude web agents are prone to inadvertent use of unnecessary sensitive information
Benchmark measuring if AI web agents follow data minimization principle. Simulates realistic web interactions across GitLab, Shopping, and Reddit.
การค้นพบหลัก
- •Evaluates GPT-4, Llama-3, Claude-powered web navigation agents
- •Measures data minimization compliance: use PII only if 'necessary' for task
- •Agents often leak sensitive information when unnecessary
- •Three test environments: GitLab, Shopping, Reddit web apps
SoK: The Privacy Paradox in Large Language Models
Various researchers
Systematization of 5 distinct privacy incident categories beyond memorization
Comprehensive survey categorizing privacy risks: training data leakage, chat leakage, context leakage, attribute inference, and attribute aggregation.
การค้นพบหลัก
- •Five privacy incident categories identified:
- •1. Training data leakage via regurgitation
- •2. Direct chat leakage through provider breaches
- •3. Indirect context leakage via agents and prompt injection
PII-Scope: A Comprehensive Study on Training Data PII Extraction Attacks in LLMs
Krishna Kanth Nakka, Ahmed Frikha, Ricardo Mendes, และคนอื่นๆ (Various)
PII extraction rates increase up to 5× with sophisticated adversarial capabilities and limited query budget
Comprehensive benchmark for PII extraction attacks. Reveals notable underestimation of PII leakage in existing single-query attacks.
การค้นพบหลัก
- •PII extraction rates can increase up to 5× with sophisticated attacks
- •Existing single-query attacks notably underestimate PII leakage
- •Taxonomy: Black-box (True-prefix, ICL, PII Compass) and White-box (SPT) attacks
- •Hyperparameters like demonstration selection crucial to attack effectiveness
Evaluating LLM-based Personal Information Extraction and Countermeasures
Yupei Liu, Yuqi Jia, Jinyuan Jia, และคนอื่นๆ (Penn State, Duke University)
GPT-4 achieves 100% accuracy extracting emails and 98% for phone numbers from synthetic profiles
Systematic measurement study benchmarking LLM-based personal information extraction (PIE). Proposes prompt injection as novel defense.
การค้นพบหลัก
- •GPT-4: 100% email extraction, 98% phone number extraction on synthetic data
- •Larger LLMs more successful: vicuna-7b achieves 65%/95% vs GPT-4's 100%/98%
- •LLMs better at: emails, phone numbers, addresses, names
- •LLMs worse at: work experience, education, affiliation, occupation
Preserving Privacy in Large Language Models: A Survey on Current Threats and Solutions
Michele Miranda, Elena Sofia Ruzzetti, Andrea Santilli, และคนอื่นๆ (Various)
Comprehensive taxonomy of privacy attacks: training data extraction, membership inference, model inversion
Survey examining privacy threats from LLM memorization. Proposes solutions from dataset anonymization to differential privacy and machine unlearning.
การค้นพบหลัก
- •Privacy attacks covered: Training data extraction, Membership inference, Model inversion
- •Training data extraction: non-adversarial and adversarial prompting
- •Membership inference: shadow models and threshold-based approaches
- •Model inversion: output inversion and gradient inversion
Beyond Data Privacy: New Privacy Risks for Large Language Models
Various researchers
LLM autonomous capabilities create new vulnerabilities for inadvertent data leakage and malicious exfiltration
Explores privacy vulnerabilities from LLM integration into applications and weaponization of autonomous abilities.
การค้นพบหลัก
- •LLM integration creates new privacy vulnerabilities beyond traditional risks
- •Opportunities for both inadvertent leakage and malicious exfiltration
- •Adversaries can exploit systems for sophisticated large-scale privacy attacks
- •Autonomous LLM abilities can be weaponized for data exfiltration
Simple Prompt Injection Attacks Can Leak Personal Data Observed by LLM Agents
Various researchers
15-50% utility drop under attack with ~20% average attack success rate for personal data leakage
Examines prompt injection causing tool-calling agents to leak personal data during task execution. Uses fictitious banking agent scenario.
การค้นพบหลัก
- •16 user tasks from AgentDojo benchmark evaluated
- •15-50 percentage point drop in LLM utility under attack
- •~20% average attack success rate across LLMs
- •Most LLMs avoid leaking passwords due to safety alignments
Membership Inference Attacks on Large-Scale Models: A Survey
Various researchers
First comprehensive review of MIAs targeting LLMs and LMMs across pre-training, fine-tuning, alignment, and RAG stages
Survey analyzing membership inference attacks by model type, adversarial knowledge, strategy, and pipeline stage.
การค้นพบหลัก
- •Analyzes MIAs across: pre-training, fine-tuning, alignment, RAG stages
- •Strong MIAs require training multiple reference models (computationally expensive)
- •Weaker attacks often perform no better than random guessing
- •Tokenizers identified as new attack vector for membership inference
กลยุทธ์การป้องกันจากการวิจัย
สิ่งที่ไม่ได้ผล
- ✗ความเป็นนิรนามเทียม — LLM ชนะชื่อผู้ใช้ จัดการ ชื่อจอ
- ✗การแปลงข้อความเป็นรูปภาพ — ลดลงเพียงเล็กน้อยเท่านั้นต่อ LLM หลายโหมด
- ✗การจัดแนวโมเดลเพียงอย่างเดียว — ปัจจุบันไม่มีประสิทธิภาพในการป้องกันการอ้างอิง
- ✗การทำให้เป็นนิรนามข้อความง่ายๆ — ไม่เพียงพอต่อการให้เหตุผล LLM
สิ่งที่ได้ผล
- ✓การทำให้เป็นนิรนามโต้เถียง — ลดการอ้างอิง 66.3% → 45.3%
- ✓ความเป็นส่วนตัวที่แตกต่างกัน — ลดความแม่นยำของ PII 33.86% → 9.37%
- ✓การป้องกันการฉีดหนังสือชี้แจง — มีประสิทธิภาพมากที่สุดต่อ PIE ที่ใช้ LLM
- ✓การลบ/แทนที่ PII ที่แท้จริง — ลบสัญญาณที่ LLM ใช้
เหตุใดการวิจัยนี้จึงมีความสำคัญ
บทความวิจัย 12 ฉบับนี้แสดงให้เห็นถึงการเปลี่ยนแปลงพื้นฐานในภัยคุกคามความเป็นส่วนตัว วิธีการทำให้เป็นนิรนามแบบเดิม เช่น นิรนามเทียม ชื่อผู้ใช้ และการเปลี่ยนแปลงจัดการ ไม่อีกต่อไปการป้องกันที่เพียงพอต่อศัตรูที่มุ่งมั่นซึ่งมีการเข้าถึง LLM
ตัวชี้วัดภัยคุกคามหลัก
- ความถูกต้องของการขจัดความเป็นนิรนาม 68% ที่ความถูกต้อง 90% (Hacker News → LinkedIn)
- ความถูกต้องของการอ้างอิงแอตทริบิวต์ 85% สำหรับตำแหน่ง รายได้ อายุ อาชีพ
- การแยกอีเมล 100% และการแยกหมายเลขโทรศัพท์ 98% (GPT-4)
- เพิ่มขึ้น 5 เท่าในการรั่วไหล PII ด้วยการโจมตีหลายแบบสอบถามขั้นสูง
- ค่าใช้จ่าย $1-$4 ต่อโปรไฟล์ทำให้การโจมตีขนาดใหญ่เป็นไปได้ทางเศรษฐกิจ
ใครที่เสี่ยง
- ผู้เปิดเผยข้อมูล & นักเคลื่อนไหว: โพสต์ที่ไม่ระบุชื่อสามารถเชื่อมโยงกับตัวตนที่แท้จริง
- มืออาชีพ: กิจกรรม Reddit เชื่อมโยงกับโปรไฟล์ LinkedIn
- ผู้ป่วยที่ได้รับการดูแล: การอ้างอิงการเป็นสมาชิกเปิดเผยว่าข้อมูลอยู่ในการฝึกสอน
- ใครก็ตามที่มีโพสต์ในอดีต: ข้อมูลหลายปีสามารถขจัดความเป็นนิรนามแบบย้อนกลับได้
วิธี anonym.legal แก้ไขภัยคุกคามเหล่านี้
anonym.legal ให้การทำให้เป็นนิรนามที่แท้จริงซึ่งลบสัญญาณที่ LLM ใช้:
- 285+ ประเภทเอนทิตี: ชื่อ ตำแหน่ง วันที่ เครื่องหมายเวลา ตัวระบุ
- การขัดขวางรูปแบบการเขียน: แทนที่ข้อความที่เปิดเผยลายนิ้วมือที่วิเคราะห์แบบศิลปวรรค
- การเข้ารหัสที่กลับด้านได้: AES-256-GCM สำหรับกรณีที่ต้องมีการเข้าถึง
- ตัวดำเนินการหลาย: แทนที่ ฉีก แฮช เข้ารหัส มาสก์ ที่กำหนดเอง
คำถามที่พบบ่อย
การขจัดความเป็นนิรนามที่ใช้ LLM คืออะไร
การขจัดความเป็นนิรนามที่ใช้ LLM ใช้โมเดลภาษาขนาดใหญ่เพื่อระบุบุคคลจริงจากโพสต์ออนไลน์ที่ไม่ระบุชื่อหรือนิรนามเทียม ต่างจากวิธีการแบบดั้งเดิมที่ล้มเหลวในระดับขนาดใหญ่ LLM สามารถรวมการวิเคราะห์สไตล์การเขียน (stylometry) ข้อเท็จจริงที่ระบุ รูปแบบชั่วคราว และการให้เหตุผลตามบริบทเพื่อจับคู่โปรไฟล์ที่ไม่ระบุชื่อกับตัวตนที่แท้จริง การวิจัยแสดงให้เห็นความถูกต้องสูงถึง 68% ที่ความถูกต้อง 90% เทียบกับเกือบ 0% สำหรับวิธีการแบบดั้งเดิม
การขจัดความเป็นนิรนามของ LLM มีความแม่นยำเพียงใด
การวิจัยแสดงให้เห็นถึงระดับความแม่นยำที่น่าเป็นห่วง: การเรียกคืน 68% ที่ความถูกต้อง 90% เพื่อจับคู่ Hacker News กับ LinkedIn 67% สำหรับการวิเคราะห์ชั่วคราว Reddit (ผู้ใช้คนเดียวกันตามเวลา) 35% ในขนาดอินเทอร์เน็ต (1M+ ผู้สมัคร) สำหรับการอ้างอิงแอตทริบิวต์ GPT-4 บรรลุความถูกต้อง top-1 85% ในการอ้างอิงแอตทริบิวต์ส่วนบุคคล เช่น ตำแหน่ง รายได้ อายุ และอาชีพจากโพสต์ Reddit เท่านั้น
กรอบการทำงาน ESRC คืออะไร
ESRC (Extraction-Search-Reason-Calibrate) คือกรอบการขจัดความเป็นนิรนามของ LLM ที่มีสี่ขั้นตอน: (1) แยก - LLM แยกข้อเท็จจริงที่ระบุตัวตนจากโพสต์ที่ไม่ระบุชื่อโดยใช้ NLP (2) ค้นหา - ค้นหาฐานข้อมูลสาธารณะ เช่น LinkedIn โดยใช้ข้อเท็จจริงที่แยกและการฝังทางความหมาย (3) ให้เหตุผล - LLM ให้เหตุผลเกี่ยวกับการจับคู่ผู้สมัครโดยวิเคราะห์ความสอดคล้อง (4) ปรับเทียบ - การให้คะแนนความเชื่อมั่นเพื่อลดผลบวกลวงในขณะที่เพิ่มการจับคู่ที่แท้จริง
การขจัดความเป็นนิรนามที่ใช้ LLM มีค่าใช้จ่ายเท่าใด
การวิจัยแสดงให้เห็นว่าการขจัดความเป็นนิรนามที่ใช้ LLM มีค่าใช้จ่าย $1-$4 ต่อโปรไฟล์ ซึ่งทำให้การขจัดความเป็นนิรนามขนาดใหญ่เป็นไปได้ทางเศรษฐกิจ สำหรับการทำให้เป็นนิรนามของการป้องกัน ค่าใช้จ่ายอยู่ที่น้อยกว่า $0.035 ต่อความเห็นโดยใช้ GPT-4 ค่าใช้จ่ายต่ำนี้ช่วยให้นักแสดงสถาบัน บริษัท ผู้ติดตาม และบุคคลที่มีเจตนาร้ายดำเนินการโจมตีความเป็นส่วนตัวในระดับขนาดใหญ่
LLM สามารถแยก PII ประเภทใดจากข้อความ
LLM เก่งการแยก: ที่อยู่อีเมล (ความถูกต้อง 100% ด้วย GPT-4) หมายเลขโทรศัพท์ (98%) ที่อยู่จดหมายและชื่อ พวกเขายังสามารถอ้างอิงถึง PII ที่ไม่ชัดเจน: ตำแหน่ง ระดับรายได้ อายุ เพศ อาชีพ การศึกษา สถานะความสัมพันธ์ และสถานที่เกิดจากสัญญาณข้อความแบบละเอียดและรูปแบบการเขียน
การโจมตีการอ้างอิงการเป็นสมาชิก (MIA) คืออะไร
การโจมตีการอ้างอิงการเป็นสมาชิก กำหนดว่าข้อมูลเฉพาะมีการใช้สำหรับการฝึกอบรมโมเดล AI หรือไม่ สำหรับ LLM สิ่งนี้เปิดเผยว่าข้อมูลส่วนบุคคลของคุณอยู่ในชุดข้อมูลการฝึกหรือไม่ การวิจัยแสดงให้เห็นว่าที่อยู่อีเมลและหมายเลขโทรศัพท์มีความเสี่ยงโดยเฉพาะ เวกเตอร์การโจมตีใหม่รวมถึงการอ้างอิงตามตัวเข้ารหัส (tokenizer) และการวิเคราะห์สัญญาณความสนใจ (AttenMIA)
การโจมตีการฉีดหนังสือชี้แจงรั่วไหลข้อมูลส่วนบุคคลอย่างไร
การฉีดหนังสือชี้แจง จัดการตัวแทน LLM เพื่อรั่วไหลข้อมูลส่วนบุคคลที่สังเกตได้ในระหว่างการดำเนินงาน ในสถานการณ์เอเจนต์ธนาคาร การโจมตี บรรลุอัตราความสำเร็จ ~20% ในการแยกข้อมูลส่วนบุคคล พร้อมด้วยการลดลงของยูทิลิตี้ 15-50% ภายใต้การโจมตี ในขณะที่การจัดแนวความปลอดภัยป้องกันการรั่วไหลรหัสผ่าน ข้อมูลส่วนบุคคลอื่นๆ ยังคงเสี่ยง
anonym.legal สามารถช่วยป้องกันการโจมตีความเป็นส่วนตัว LLM ได้อย่างไร
anonym.legal ให้การทำให้เป็นนิรนามที่แท้จริงผ่าน: (1) การตรวจจับ PII - 285+ ประเภทเอนทิตี รวมชื่อ ตำแหน่ง วันที่ รูปแบบการเขียน (2) การแทนที่ - แทนที่ PII จริงด้วยทางเลือกที่ถูกต้องตามรูปแบบ (3) การฉีก - ลบข้อมูลที่ละเอียดอ่อนอย่างสมบูรณ์ (4) การเข้ารหัสแบบย้อนกลับได้ - AES-256-GCM เพื่อการเข้าถึง ที่ได้รับอนุญาต ต่างจากความเป็นนิรนามเทียมที่ LLM เอาชนะ การทำให้เป็นนิรนามที่แท้จริงจะลบสัญญาณที่ LLM ใช้สำหรับการขจัดความเป็นนิรนาม
ป้องกันจากการโจมตีความเป็นส่วนตัว LLM
อย่าพึ่งพาความเป็นนิรนามเทียม ใช้การทำให้เป็นนิรนามที่แท้จริงเพื่อป้องกันเอกสารที่ละเอียดอ่อน ข้อมูลผู้ใช้ และการสื่อสารจากการโจมตีระบุตัวตนที่ใช้พลังของ AI
About this page
We update this page when our platform or the law changes.
Read our founder note for how we work.
Each change shows up in the timestamp at the top.
Related reading
- Common questions
- Glossary
- How tokens work
- Security posture
- Where we comply
- What we detect
- Case studies
- Release notes
We follow these rules
- GDPR (EU 2016/679).
- ISO/IEC 27001:2022.
- NIS2 (EU 2022/2555).
- HIPAA safe harbor under 45 CFR § 164.514(b)(2).
Our promise
We do not sell your data.
We do not train models on your text.
We store your files in Germany.
You can delete your account at any time.
You own your work.
Where we run
Our servers live in Falkenstein, Germany.
We use Hetzner. They hold ISO 27001 certification.
All data stays in the EU.
Backups run every day.
Need help?
Email support@anonym.legal.
We reply within one business day.
How we test
We run a full check suite on every release.
Each surface gets its own sweep script and report.
Human reviewers spot-check the output each week.
We track recall and precision on a labelled set.
Bad runs block the deploy.
What we never do
- We never sell your information to third parties.
- We never train models on what you upload.
- We never keep your work after you delete it.
- We never share keys with any outside firm.
- We never run ads inside the product.
Plans in plain words
We sell credits, not seats.
One credit covers one short job.
Long jobs use a few credits each.
You can top up at any time.
Unused credits roll over each month.
Read the plans page for current rates.
Who built this
A small team of engineers and lawyers built this.
We ship from Europe and work in the open.
Our founder note spells out why we started.
Where to start
- Open the web app and try a sample file.
- Learn how credits get counted.
- See current plans and limits.
- Meet the team behind the product.
How the parts fit
A browser add-on cleans text inside Chrome.
A Word plug-in handles drafts in Office.
A small desktop tool works on whole folders.
An agent protocol link feeds large models safely.
All four share one core engine and one rule set.
Words from our team
We started this work after a lunch about cookies.
One friend kept getting odd ads on her phone.
We asked why a court file leaked through a draft.
We sketched the first build on a napkin that week.
By month three we had a tiny demo for a friend.
She used it on her first case the next day.
Common questions we hear
Can the tool read scanned PDFs? Yes, with OCR.
Does it work on long files? Yes, in small chunks.
Can I roll my own rule set? Yes, save it as a preset.
Does it run offline? The desktop build runs offline.
Do you keep my files? No, the cloud build wipes after each run.
Will it learn from my work? No, we never train on inputs.
A short tour of the workflow
Upload a file or paste a snippet of prose.
Pick the entities you want gone from the draft.
Choose a method: replace, mask, hash, encrypt, or redact.
Press run and watch the side panel show each hit.
Skim the result and tweak any rule that misfired.
Save the cleaned file or send it to a teammate.