Os LLMs já “desanonimizam” perfis a partir de texto público sem necessidade de grafos de identidade

Escrito por Programmatic Portugal

Os modelos de linguagem estão a corroer uma das bases práticas da privacidade na internet: a possibilidade de manter identidades pseudónimas separadas através de diferentes sites. Um novo estudo académico da ETH Zurich alerta que os LLMs já conseguem executar ataques de desanonimização em escala combinando duas capacidades-chave: extrair sinais de identidade a partir de texto não estruturado (posts, comentários, descrições) e raciocinar sobre correspondências prováveis entre perfis.

Um “framework” que converte texto em sinais de identidade

O trabalho propõe um framework modular inspirado em ataques clássicos de matching de dados que descompõe a desanonimização em quatro passos: Extract (extrair micro-sinais de texto), Search (recuperar candidatos por similaridade semântica), Reason (selecionar e verificar a melhor correspondência com raciocínio) e Calibrate (calibrar o limiar para controlar o trade-off entre precisão e cobertura). Ao contrário dos métodos tradicionais, que dependem de datasets estruturados, o enfoque apoia-se no próprio conteúdo linguístico como “cola” entre identidades. Para manter um framework mensurável e evitar danos, os autores trabalham com datasets com ground truth verificável, como perfis que ligam publicamente a outra plataforma ou cenários sintéticos em que a pegada digital de um utilizador é dividida para simular identidades distintas. Reconhecem, no entanto, que estes enfoques podem introduzir vieses, por exemplo, alguns perfis podem ser mais fáceis de identificar.

Resultados: do cruzamento Hacker News–LinkedIn a Reddit

No experimento mais representativo de cruzamento entre plataformas, os investigadores recolheram 338 utilizadores de Hacker News que ligavam o seu LinkedIn e, após anonimizar os prompts de pesquisa, reportaram que um agente com ferramentas de busca identificou corretamente 226 alvos, equivalente a 67% de recall com 90% de precisão, com abstensões e erros controlados. O custo de executar o agente por perfil situa-se entre 1 e 4 dólares nas suas provas. O paper também analisa cenários dentro do Reddit em que o sistema tenta reconectar atividade de um mesmo utilizador a partir de sinais temáticos. No dataset de cinema, o desempenho aumenta de forma notável quando o utilizador deixa mais rastos distintivos: em perfis com mais de 10 filmes partilhados entre comunidades, o sistema alcança 48,1% de recall a 90% de precisão e 17% a 99% de precisão. No conjunto total de 9.781 consultas, o recall situa-se em 8,5% a 90% de precisão.

Por que supera os métodos “clássicos”

Uma das mensagens do estudo é que os LLMs mudam a economia do ataque porque podem trabalhar com texto público e sinais semânticos, sem requerer bases estruturadas tipo rating vectors ou grafos de IDs. Em várias comparações, o baseline inspirado no ataque de Netflix Prize degrada-se rapidamente: por exemplo, num cenário de atributos profissionais, o baseline apenas coloca o match correto como top-1 em 5,1% dos casos e, ao subir o limiar para ganhar precisão, o recall cai quase a zero. Em cenários de grande escala com perfis divididos, o estudo sublinha que os ataques baseados em LLM mantêm utilidade onde o baseline praticamente não consegue recall relevante mesmo a 90% de precisão.

Escala: o desempenho cai, mas não desaparece

Os autores analisam como se degrada o recall quando aumenta o tamanho do candidate pool. Numa extrapolação log-linear, o método com raciocínio degrada-se de forma mais gradual do que a busca por embeddings: a 89.000 candidatos mantém 55,2% de recall a 90% de precisão e, segundo estimativas, manteria cerca de 27,4% mesmo com 100 milhões de candidatos.

Implicações: “ID graphs” sem IDs e mais pressão regulatória

A conclusão é incómoda para a privacidade: os LLMs actuam como um microscópio de informação que converte rastos dispersos em sinais agregados, democratizando ataques que antes eram caros ou especializados. O estudo alerta explicitamente para riscos como vigilância de dissidentes, doxxing, engenharia social e também a possibilidade de empresas conectarem atividade pseudónima com perfis de cliente para hipersegmentação. Os autores propõem mitigações centradas em reduzir a escalabilidade do scraping e o acesso massivo a dados, incluindo rate limits, deteção de automatização, restrições de exportação, além de guardrails em fornecedores de LLM. Ainda assim, mostram-se cépticos quanto a bloquear completamente, porque o ataque pode ser decomposto em tarefas que parecem benignas, como resumir, procurar ou rankear. Em termos práticos, o paper sugere que plataformas, reguladores e equipas de privacidade devem assumir um novo cenário: o texto público já não é ruído, mas uma fonte suficiente para vincular identidades a baixo custo, o que obriga a rever o que entendemos por anonimato na web e que protecções são realistas na era dos LLMs.

Programmatic Portugal
Próximo

Netflix reforça o seu ecossistema publicitário com CAPI própria e audiências avançadas