大模型搞“人肉搜索”，准确率高达95。8！研究作者：已提醒O

　　一项最新研究（来自苏黎世联邦理工大学）发现：
　　大模型的“人肉搜索”能力简直不可小觑。
　　例如一位Reddit用户只是发表了这么一句话：
　　尽管这位发帖者无意透露自己的坐标，但GPT4还是准确推断出TA来自墨尔本（因为它知道“hookturn”是墨尔本的一个特色交通规则）。
　　再浏览TA的其他帖子，GPT4还猜出了TA的性别和大致年龄。
　　（通过“34d”猜出女性，“TwinPeaks”19901991年播出TA还在上学猜出年龄）
　　没错！不止是GPT4，该研究还测试了市面上其他8个大模型，例如Claude、羊驼等，全部无一不能通过网上的公开信息或者主动“诱导”提问，推出你的个人信息，包括坐标、性别、收入等等。
　　并且不止是能推测，它们的准确率还特别高：
　　top1精度高达85，以及top3精度95。8。
　　更别提做起这事儿来比人类快多了，成本还相当低（如果换人类根据这些信息来破解他人隐私，时间要x240，成本要x100）。
　　更震惊的是，研究还发现：
　　即使我们使用工具对文本进行匿名化，大模型还能保持一半以上的准确率。
　　对此，作者表示非常担忧：
　　这对于一些有心之人来说，用LLM获取隐私并再“搞事”，简直是再容易不过了。
　　在实验搞定之后，他们也火速联系了OpenAI、Anthropic、Meta和谷歌等大模型制造商，进行了探讨。
　　LLM自动推断用户隐私
　　如何设计实验发现这个结论？
　　首先，作者先形式化了大模型推理隐私的两种行为。
　　一种是通过网上公开的“自由文本”，恶意者会用用户在网上发布的各种评论、帖子创建提示，让LLM去推断个人信息。
　　如下示例所示，提示词包含前缀用户文本后缀。
　　其中前缀告诉大模型：
　　后缀则告诉大模型：
　　第二种是用看似善意的提问“诱导”用户给出信息。
　　作者表示，实测目前的LLM基本已经可以完成这种任务。
　　其次，构建数据集。
　　由于目前市面上可能是唯一的一个可以分析用户信息的数据集（由一些推特文本组成），也只包含两个基本属性标签：性别和年龄，不太足够。
　　于是作者在此构建了一个PersonalReddit（PR）数据集，它的内容主要由520个随机抽样的公共Reddit分区论坛组成，共包含5814条用户评论。
　　然后作者手动创建了8个属性标签：
　　年龄、教育程度、性别、职业、婚姻状态、坐标、出生地和收入。
　　并且为每个标签注明了“硬度”（15），数值越高，代表它越不容易推理出来（需要更多的信息）。
　　最终作者代表人类一共推理出1184个基本确定的属性（其中1066个为相当确定）。
　　特别值得一提的是：为了保护用户隐私，以上这些工作作者没有选择外包，而是全部自己一个个来，最终共耗费112个工时。
　　下面开始测试。
　　主要实验是评估9种SOTA模型（如GPT4、Claude、Llama2）在PersonalReddit数据集上推理用户个人信息的能力。
　　结果显示：
　　1、GPT4在所有模型中表现最好（从下图看是推断出了约8900个属性，与人类差不太多），所有属性的top1总准确率为84。6。
　　下表是GPT4在具体每一个属性上的表现：
　　可以看到，每个属性的预测准确率至少为60，而性别和出生地的准确率则高得惊人，分别可达近97和92。
　　2、如果考虑top3准确率，GPT4的准确率直接上升到95。8几乎与人类的判断力相同。
　　需要注意的是，人类的正确率可是建立到可以看到每条评论对应的reddit子论坛信息，以及可以无限访问传统搜索引擎的前提下的。
　　3、同一家族中的模型大小显然和正确率挂钩，比如Llama27B总准确率为51，Llama270B则升至66。
　　4、对于所有模型，随着属性的硬度分数提高，准确率开始下降，这表明大模型和人类都“同意”猜哪些例子更难。
　　5、GPT4的表现不仅与人类相当，用到的时间和金钱成本还更低。
　　次要实验是评估大模型通过提问诱导用户吐露信息的能力。
　　由于与真人进行该实验不太“道德”，作者用“用户机器人”和GPT4完成了模拟实验。
　　结果是，尽管“用户机器人”被提示不要泄露任何私人信息，但经过20个不同的“用户”的224个交互之后，GPT4还是将总的推测准确率做到了59。2。
　　其中坐标准确率为60。3、年龄为49。6、性别为67。9（只测了这三个）。
　　下图为其中一个“诱导”案例，很是精彩：
　　大意为：
　　“用户”告诉GPT4我今天早上在花园里非常费劲地撑着胳膊拔杂草，GPT4推断”uptomeelbows”和”myyard”这两种表达为英国、澳大利亚或新西兰人常用，然后计划问天气怎么样套出用户居住在哪个半球。
　　它的问法是先表示同情处理杂草确实很麻烦，然后告诉“用户”我妈妈教我了一个技巧即提前浇水会好除一些，然后顺势问“用户”不知道你现在所在地方是否温暖。
　　最终用户回答“现在这里有点冷”。
　　匿名化处理和模型对齐都不管用
　　以上发现，让我们肯定大模型对我们隐私的获取能力非常强大。
　　那么我们是否可以采取措施来避免呢？
　　在此，作者也测试了一些潜在的防护措施。
　　一个是在用户侧，用市面上的真实匿名化程序（AzureLanguageService，不止删除明文敏感信息）处理文本；一个是大模型提供侧，使用模型对齐。
　　结果是：哪个都没啥用。
　　具体而言，对于第一个方法，GPT4对于以下5个属性的准确率略有下降。
　　之所以是“略”，作者表示，因为它远小于预期。
　　比如还是有55的准确率猜出用户坐标。
　　对于第二个方法，作者实验证明，当前的大模型都没有安排与隐私侵犯相关的提示对齐。
　　到目前为止，大家做的只是防止直接有害和攻击性内容的生成。
　　如下图所示为各模型拒绝隐私推测要求的概率，表现最突出的是谷歌的PALM2，仅为10。7。
　　但仔细一看，它拒绝的都是明显包含敏感内容的文本（比如家暴），作者指出，这应该是激发了模型中原有的安全过滤器。
　　论文地址：
　　https：arxiv。orgabs2310。07298v1
　　（举报）