Praktyczna obskurność umarła.
Carlini, Tramèr i koniec taniej pseudonimizacji.

Item: Large-scale online deanonymization with LLMs
Author: Wiesław Mazur

Dwadzieścia cztery strony preprintu z ETH Zurich i Anthropic, podpisane przez Florian Tramèra i Nicholasa Carliniego - dwóch najbardziej uznanych badaczy bezpieczeństwa systemów uczenia maszynowego na świecie - oraz czterech ich współautorów. Przedmiot prosty. Zespół bierze frontierowy model językowy, daje mu dostęp do Internetu, pokazuje mu pseudonimowy profil z Hacker News albo z Reddita - i każe odgadnąć, kto to. Wynik: od 25 do 67 procent profili rozpoznanych poprawnie, przy precyzji od 70 do 90 procent. Na osobnym zbiorze 125 wywiadów z naukowcami (Anthropic Interviewer Dataset) agent identyfikuje co najmniej 9 z nich, mimo że transkrypty nie zawierają nazwisk. W rozszerzonym benchmarku crossowym Hacker News - LinkedIn LLM osiąga 55 procent recall przy 90 procent precyzji. Klasyczna metoda Narayanana z czasów Netflix Prize: 0,1 procent. Niewielka różnica.

Autorzy formułują to bez upiększeń: "the practical obscurity protecting pseudonymous users online no longer holds and threat models for online privacy need to be reconsidered". Dla polskiej kancelarii to zdanie w zasadzie wystarczyłoby jako cała recenzja. Pseudonim, anonimizacja przez zamazanie imienia, kazus publikowany "ze zmienionymi danymi" - wszystko to dziś nie ma tej wartości ochronnej, którą miało wczoraj. Różnica ceny ataku: od wielu godzin pracy detektywa do minut pracy agenta LLM z dostępem do sieci.

Materiał źródłowy

Simon Lermen (MATS), Daniel Paleka, Joshua Swanson, Michael Aerni (ETH Zurich), Nicholas Carlini (Anthropic), Florian Tramèr (ETH Zurich), Large-scale online deanonymization with LLMs, preprint ETH Zurich / Anthropic / MATS, 24 strony. Dataset eksperymentalny: profile Hacker News i Reddit, Anthropic Interviewer Dataset (125 uczestników), cross-matching HN-LinkedIn (987 zapytań), split pojedynczego użytkownika Reddit w czasie.

Najważniejsze wyniki. Open-web: agent re-identyfikuje 25-67% profili HN/Reddit z precyzją 70-90%. Anthropic Interviewer Dataset: rozpoznanych co najmniej 9 ze 125 (82% precyzja na rozpoznaniach). HN-LinkedIn: 55% recall przy 90% precision (GPT-5.2 niska reasoning effort) vs 0,1% baseline Narayanan. Pipeline trzystopniowy: Summarize (wyciąg cech identyfikujących) - Search (nearest-neighbor na embeddings) - Reason (wybór z top-k). Autorzy nie publikują kodu pipeline ani przetworzonych datasetów - ale zaznaczają, że "any moderately sophisticated actor can already do what we do using readily available LLMs and embedding models". Skala degraduje log-linearnie z rozmiarem candidate pool, Reason jest istotnie bardziej odporny niż sam Search.

O czym jest ten materiał

Autorzy konstruują dwa reżimy eksperymentalne. W pierwszym, otwartym - agent LLM z dostępem do Internetu dostaje pseudonimowy profil (typowy użytkownik Hacker News, użytkownik Reddita, uczestnik wywiadu naukowego) i ma za zadanie odgadnąć jego tożsamość. Może swobodnie przeszukiwać sieć, odpytywać bazy, porównywać fragmenty wypowiedzi. Drugi reżim jest zamknięty. Mamy dwie pseudonimizowane bazy osób - np. Hacker News i LinkedIn, albo dwie różne subreddity, albo historia jednego użytkownika Reddita podzielona na dwa okresy czasowe - i agent ma dopasować, kto jest kim. Ten drugi reżim pozwala liczyć precyzję i recall w sposób wystandaryzowany, porównywalny z wcześniejszą literaturą.

Metoda jest trzystopniowa. Najpierw LLM streszcza każdy profil pod kątem cech identyfikujących - zespół daje modelowi bardzo konkretny prompt: "wymień cechy DYSTYNKTYWNE i TRWAŁE, nie ogólne ('używa przekleństw', 'lubi gry'), ale precyzyjne ('mieszka w Portland', 'gra w Dwarf Fortress')". Następnie wybrane cechy zamienia na embeddings i szuka najbliższych sąsiadów między bazami. Na końcu LLM reasonuje nad top-100 kandydatami i wybiera jeden najlepiej pasujący. To ostatnie - reasoning - robi największą różnicę. Baseline Narayanana z Netflix Prize - czyli klasyczna próba re-identyfikacji użytkowników po strukturalnej charakterystyce (oceny filmów z datami) - osiąga 0,1 procent recall przy 90 procent precyzji. Wyłącznie embeddings (Search): 26,3 procent. Pełny pipeline (Search + Reason): 55,0 procent. Skok jest nie liniowy, tylko skokowy.

Drugi wynik, który zasługuje na uwagę, to eksperyment na Anthropic Interviewer Dataset - zbiorze 125 transkryptów wywiadów z naukowcami o tym, jak używają AI w pracy. Transkrypty z definicji nie zawierają nazwisk, uczelni ani konkretnych identyfikatorów. Agent dostaje tylko transkrypt i zadanie odgadnięcia, z kim się rozmawia. W 33 przypadkach, które zespół zdążył zweryfikować ręcznie, rozpoznanych zostało 9. To 27 procent, przy 82 procent precyzji. Autorzy estymują, że na całych 125 będzie ich "co najmniej 9". To nie są bohaterowie masowej kultury. To są konkretne, indywidualne osoby z rozmów, które miały być poufne.

Autorzy zestawiają swoje wyniki z wcześniejszą literaturą. Klasyczne ataki deanonimizacyjne - od pracy Sweeney z 2000 roku o 87 procent populacji USA identyfikowanej przez kod pocztowy, datę urodzenia i płeć, po Narayanana i Shmatikova z 2008 roku o deanonimizacji zbioru Netflix Prize - operowały na danych ustrukturyzowanych. Wymagały tabeli. Tutaj pipeline działa wprost na surowym tekście w dowolnej formie. To jest różnica jakościowa, nie ilościowa.

Recenzja

Perspektywa compliance: art. 4 RODO przestał znaczyć to, co znaczył

Artykuł 4 pkt 5 RODO definiuje pseudonimizację jako przetwarzanie, które prowadzi do tego, że "danych osobowych nie można już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji". Motyw 26 RODO idzie dalej i wyjaśnia, że pytanie "czy dane są jeszcze osobowe" należy rozstrzygać z uwzględnieniem "wszystkich rozsądnie prawdopodobnych sposobów, którymi administrator lub inna osoba mogłaby się nimi posłużyć do zidentyfikowania osoby fizycznej - bezpośrednio lub pośrednio". Kluczowe słowo to "rozsądnie prawdopodobnych". Operuje ono nieodłącznie kategorią kosztu: jeśli re-identyfikacja byłaby tak droga, że nikt jej nie podejmie, dane pseudonimizowane praktycznie nie są osobowe.

Carlini i Tramèr pokazują, że ta kalkulacja kosztów właśnie się przewartościowała. To, co wczoraj wymagało tygodnia detektywa-analityka, dziś wymaga agenta LLM z dostępem do wyszukiwarki i kilku dolarów rozliczenia tokenów. Dla polskiego compliance officera konsekwencja jest bardzo konkretna: zbiory, które były klasyfikowane jako "pseudonimizowane" w 2023 roku, powinny zostać przeklasyfikowane. Jeśli dane w nich pozostają na tyle bogate, że umożliwiają re-identyfikację po uruchomieniu na nich agenta LLM z Internetem - a to prawie każdy zbiór opisowy z wyjątkiem ekstremalnie zubożonych - to są to nadal dane osobowe, ze wszystkimi konsekwencjami RODO.

Drugi wniosek jest jeszcze mniej przyjemny. Praktyka kancelaryjna z ostatnich piętnastu lat - publikacja case studies "ze zmienionymi imionami", wysyłka newslettera z przykładem sprawy "pewnego klienta w branży energetycznej", przekazywanie stażyście na szkolenie akt "zanonimizowanych" - opierała się na tym samym mechanizmie praktycznej obskurności. Autorzy nie piszą o kancelariach, ale ich metoda jest dokładnie tym, co można zastosować do pseudonimizowanego kazusu. Jeśli opis sprawy zawiera na tyle bogate konteksty - branża, wielkość transakcji, specyficzny problem proceduralny, orientacyjne okno czasowe - agent LLM z dostępem do orzecznictwa, rejestrów handlowych i mediów branżowych zidentyfikuje strony z wysokim prawdopodobieństwem. Naruszenie tajemnicy zawodowej po takiej publikacji staje się kwestią odpowiedzialności dyscyplinarnej, nie tylko teoretycznego ryzyka.

Trzecie zagadnienie dotyczy AI Act. Art. 10 AI Act wymaga od dostawców systemów wysokiego ryzyka, żeby dane treningowe, walidacyjne i testowe podlegały "odpowiednim praktykom zarządzania i administrowania danymi", w tym "przetwarzaniu oraz danym i ochronie danych osobowych". Pseudonimizacja często była przywoływana jako techniczny środek zgodności z tym wymaganiem. Carlini i Tramèr pokazują, że ta techniczna odpowiedź jest coraz mniej wystarczająca. Dla kancelarii, która doradza klientowi budującemu system wysokiego ryzyka - albo sama taki system wdraża u siebie - rekomendacja "zaanonimizujemy dane i damy do trenowania" jest dziś niewystarczająca. Trzeba umieć uzasadnić, że konkretny zbiór jest odporny na re-identyfikację przez LLM z dostępem do sieci. To jest wyższa poprzeczka.

Perspektywa bezpiecznej architektury: kto do czego ma dostęp i co z tego wynika

Najważniejsze dla architektury bezpiecznego wdrożenia w kancelarii jest jedno zdanie autorów: pipeline nie wymaga żadnego specjalnego modelu ani eksfiltrowanych danych. "Any moderately sophisticated actor can already do what we do using readily available LLMs and embedding models". Atak jest już dostępny. Publikacja Carliniego i Tramèra nie otwiera nowego wektora - ona dokumentuje wektor, który istnieje co najmniej od kilkunastu miesięcy i który każdy adwersarz o średnim poziomie kompetencji technicznych może odtworzyć. Zabezpieczenie się przed nim polega nie na oczekiwaniu, aż dostawcy LLM wprowadzą jakieś szczególne ograniczenia - bo narzędzia są generyczne, a agenci mogą być zbudowani z dowolnych komponentów - tylko na zmianie polityki w samej kancelarii.

Co to konkretnie znaczy. Po pierwsze, wszystkie pseudonimizowane eksporty z systemów kancelaryjnych (DMS, CRM, systemy billingowe, systemy obsługi spraw) powinny zostać zaudytowane pod kątem odporności na atak tego typu. Nie przez dostawcę tych systemów - on ma konflikt interesu - tylko przez wewnętrzny zespół compliance, ewentualnie z zewnętrzną firmą audytorską AI security. Po drugie, każdy projekt wewnętrznego RAG albo fine-tuningu, który korzysta z "zanonimizowanych" dokumentów klienckich, musi być przegrywany na scenariuszu adversarialnym: gdyby agent LLM miał dostęp do tego RAG i do Internetu, czy mógłby odwrócić anonimizację. Jeśli tak - anonimizacja była pozorna i projekt w tej formie jest sprzeczny z tajemnicą zawodową. Po trzecie, publikacje marketingowe kancelarii z "case studies ze zmienionymi danymi" wymagają osobnego protokołu akceptacji. Partner, który akceptuje taki artykuł do publikacji, powinien mieć w aktach notatkę compliance officera potwierdzającą, że autor wykonał test re-identyfikacyjny.

Po czwarte, i to jest najtrudniejsze organizacyjnie: trzeba przejrzeć listę zewnętrznych dostawców, którzy kiedykolwiek otrzymali pseudonimizowane dane od kancelarii. Firmy tłumaczeniowe, dostawcy narzędzi e-discovery, firmy analityczne przygotowujące benchmarki cennikowe. Jeśli gdzieś w tej liście jest podmiot, który dziś prowadzi wewnętrzne projekty AI - może mieć możliwość przeprowadzenia na tych danych dokładnie tego, co robili Carlini i Tramèr. Dla klienta, którego dane w tej drodze uczestniczyły, fakt re-identyfikacji to nie tylko naruszenie RODO, ale też potencjalne naruszenie tajemnicy zawodowej, za którą odpowiada kancelaria. Warto to zmapować zawczasu.

Rozszerzenie do BW/027: poprzedni tom pokazywał, że europejscy dostawcy AI często mają amerykańskie ownership, amerykańską infrastrukturę, amerykańskie sub-procesorów. Gdy nałoży się na to rezultat Carliniego i Tramèra, obraz robi się jeszcze mniej komfortowy. Dane, które trafiają do takiego dostawcy jako "pseudonimizowane" z naszej kancelarii, mogą w całym łańcuchu nie pozostać pseudonimizowane, nawet jeśli my same robimy wszystko poprawnie. Technologia deanonimizacji LLM wyrównała asymetrię między tym, co kancelaria kontroluje, a tym, co kontrolują jej podwykonawcy.

Czego autorzy nie dopowiadają

Po pierwsze, jest to badanie na materiale anglojęzycznym. Hacker News, Reddit, LinkedIn - wszystko po angielsku, wszystko w przestrzeni danych, na której LLM-y były trenowane masowo. Polska przestrzeń pseudonimów - fora branżowe, komentarze do orzeczeń, dyskusje na forach prawniczych - jest istotnie mniejsza, ale również istotnie płytsza semantycznie z punktu widzenia modelu. To jednocześnie zmniejsza i zwiększa ryzyko. Zmniejsza, bo model zna polski gorzej. Zwiększa, bo zbiór kandydatów jest mniejszy - jeśli opis wskazuje na radcę prawnego z Łodzi specjalizującego się w prawie energetycznym, to zestaw tych osób jest rzędu pojedynczych dziesiątek, nie setek tysięcy. Naiwna polska kalkulacja "u nas to nie zadziała" jest niebezpieczna. Polska gorzej trenuje modele, ale łatwiej daje się re-identyfikować, bo nas jest mniej.

Po drugie, autorzy skupiają się na tekście. Ich metodologia nie dotyka metadanych - a metadane to osobna warstwa ryzyka. Plik Word z numerem wersji, stylem komentarzy i historią zmian powie LLM więcej o autorze niż sama treść. PDF wygenerowany z InDesigna przez konkretną wersję Acrobata ze specyficznym profilem kolorystycznym mówi o nadawcy dokumentu. Dla kancelarii to oznacza, że "anonimizacja" powinna obejmować również metadane plików, a nie tylko tekst. Większość narzędzi compliance na polskim rynku tego nie sprawdza.

Po trzecie, paper ma ograniczenie, które autorzy sami przyznają: nie zwalnia kodu i przetworzonych datasetów. Uważają, że ich publikacja jest w granicach "responsible disclosure", bo atak jest i tak wykonalny dla każdego, kto chce. To prawda - ale polska kancelaria, która chce test re-identyfikacyjny przeprowadzić u siebie, musi zbudować pipeline samodzielnie albo kupić go u zewnętrznego audytora. Na polskim rynku takich audytorów jest dzisiaj bardzo niewielu, a ich kompetencje są nierówne. To nie wada paperu, tylko luka rynkowa, o której warto wiedzieć.

Po czwarte i najbardziej niewygodne: paper pomija kwestię prawa do bycia zapomnianym z art. 17 RODO. Jeśli kancelaria opublikowała kazus "ze zmienionymi imionami" pięć lat temu, a dziś LLM potrafi ten kazus deanonimizować - to oznacza, że klient, którego dotyczy sprawa, ma realne roszczenie o usunięcie treści. Jeszcze pół roku temu można było odpowiedzieć, że "dane są już anonimowe, nie są osobowe, art. 17 nie ma zastosowania". Po tej publikacji taka odpowiedź nie przejdzie testu proporcjonalności. Kancelaria, która w archiwum ma taki materiał publikowany, powinna przygotować się na żądania usunięcia - a być może zawczasu przeprowadzić ich audyt i usunąć proaktywnie. To jest praca na tygodnie, ale uniknie się konkretnych skarg do PUODO.

Co z tego wynika

Ten paper to nie jest akademicka ciekawostka. To jest dokument z bibliografii, do której compliance officer w polskiej kancelarii powinien odwoływać się, gdy zarząd pyta "dlaczego zmieniamy politykę anonimizacji dokumentów, skoro przez dziesięć lat działała". Odpowiedź: bo przez dziesięć lat ochrona polegała na koszcie ataku, nie na sile zabezpieczenia - i ten koszt właśnie się zapadł. Sześć stron z Tramèrem jako autorem to dziś silniejsza podstawa do zmiany polityki niż rok rozmów konferencyjnych o RODO.

Pytanie, które zostaje dla kancelarii: kiedy ostatni raz audytowaliśmy proces pseudonimizacji w naszej organizacji, i czy ten audyt uwzględniał atak LLM-owy. Jeśli odpowiedź brzmi "nigdy" albo "rok temu w ramach zgodności z polityką dostawcy DMS", to warto zaplanować ten audyt na najbliższy kwartał. Nie dlatego, że PUODO zapowiada kontrolę. Dlatego, że każdy klient, którego dane kiedykolwiek uczestniczyły w naszych materiałach szkoleniowych albo marketingowych, ma podstawę teoretyczną do roszczenia - a ma ją od momentu, gdy zastosowana technologia zmieniła kalkulację kosztów.

Komu polecam. Compliance officerom, inspektorom ochrony danych, partnerom zarządzającym w kancelariach prowadzących sprawy z bogatym materiałem opisowym (M&A, spory korporacyjne, energetyka, farmacja, rodzinne). Radcom prawnym i adwokatom, którzy kiedykolwiek publikowali case studies z "zmienionymi danymi". Komu nie polecam. Osobom szukającym gotowej listy kontrolnej "co zrobić, żeby być zgodnym" - takiej listy w tym paperze nie ma, bo autorzy opisują zagrożenie, nie jego mitygację. Listy trzeba sobie zbudować samodzielnie, w swojej organizacji, z uwzględnieniem struktury własnych danych i własnych obowiązków zawodowych.

Dla zarządu kancelarii w trzech zdaniach

Sześciu badaczy z ETH Zurich i Anthropic właśnie pokazało, że agent LLM z dostępem do Internetu re-identyfikuje pseudonimowe profile z precyzją 70-90% i że klasyczne ataki deanonimizacyjne były przy nim "zerowe". Decyzja strategiczna: do końca kwartału przeprowadzić audyt wszystkich publikowanych przez kancelarię materiałów pseudonimizowanych - case studies, newsletterów, kazusów szkoleniowych, wewnętrznych raportów z "zmienionymi danymi" - z perspektywy obecnej praktycznej odporności na re-identyfikację, a nie tej z 2023 roku. Rekomendacja praktyczna: wprowadzić w obiegu wewnętrznym protokół, w którym każdy materiał pseudonimizowany przed publikacją przechodzi przez compliance officera z notatką "czy re-identyfikacja przez agent LLM z dostępem do sieci jest rozsądnie prawdopodobna", i archiwizować tę notatkę wraz z materiałem - jako dowód należytej staranności w razie postępowania przed PUODO lub dyscyplinarnego.

Carlini · Tramèr · Anthropic · ETH Zurich deanonimizacja LLM art. 4 RODO motyw 26 RODO tajemnica zawodowa Hacker News · Reddit · LinkedIn Anthropic Interviewer Dataset Netflix Prize · Narayanan baseline practical obscurity AI Act art. 10

Wiesław Mazur · MateMatic
Bezpieczna architektura AI dla kancelarii.
matematicsolutions.com

← Baza Wiedzy Porozmawiaj z MateMatic →

Praktyczna obskurność umarła.Carlini, Tramèr i koniec taniej pseudonimizacji.