← 返回 2026-06-05

对抗智能体重新识别的大语言模型匿名化 LLM Anonymization Against Agentic Re-Identification

Ziwen Li, Jianing Wen, Tianshi Li 📅 2026-06-01 👍 1 2026-07-13 08:36
LLM安全 差分隐私 文本匿名化 智能体安全 隐私保护

AURA通过mask-reconstruct分离隐私定位与实用保留,有效防御LLM重识别攻击

前置知识

Named Entity Recognition (NER)

命名实体识别是自然语言处理的基础任务,旨在从文本中自动识别和分类预定义类别的实体,如人名、地名、组织名、日期、电子邮件等。传统NER系统(如Microsoft Presidio)基于规则或神经网络模型,通过标注训练数据学习识别模式,在标准数据集上可达到接近人类的性能。然而,NER仅能处理显式标识符,无法识别那些通过上下文组合才能推断出个人身份的线索。

理解NER的局限性是本文工作的起点。作者指出传统数据发布实践中广泛使用的NER-based去识别方法在面对现代LLM时完全失效,因为LLM能利用NER遗漏的上下文线索进行推理攻击。

Agentic LLMs with Web Search

具备工具调用能力(特别是web搜索)的大语言模型代理能够自主规划、执行复杂任务。它们可以从弱上下文线索中生成查询,检索公开证据,并将外部材料与输入文本进行交叉引用来推断身份。例如,从访谈记录中提取研究机构、论文主题、发表状态等碎片信息,通过web搜索找到对应论文,进而定位到具体个人。这种攻击方式比传统静态模型推理更强大、更动态。

这是本文研究的核心威胁模型。传统匿名化方法假设攻击者只能从文本本身进行推理,而agentic LLM打破了这一假设,将匿名化问题从删除显式标识符转变为决定哪些上下文细节可以安全保留。

Quasi-identifiers

准标识符是指单个来看无法唯一识别个人,但多个组合后可能导致重识别的属性。经典的例子是邮编、生日、性别这三个属性组合可以唯一识别美国87%的人口。在访谈文本场景中,准标识符更复杂多样:研究领域、具体技术栈、合作机构、会议发表状态等。这些细节单独看无风险,但agentic LLM可以通过web搜索找到对应的论文、项目页面、个人主页,从而交叉验证定位到个人。

本文的核心创新之一是自适应隐私范围扩展,即从基础的8个属性(年龄、性别、位置、职业、教育、关系状态、收入、出生地)扩展到文本特定的准标识符。这是AURA能有效防御agentic重识别攻击的关键。

Differential Privacy (DP)

差分隐私是一种提供数学隐私保证的框架,通过在输出中注入 calibrated noise 来保护个体隐私。其核心参数是隐私预算 epsilon,值越小隐私保护越强但效用越低。在文本场景中,DP重写方法(如DP-MLM)通过在token级别添加噪声或合成文本来实现 epsilon-DP 保证。然而,强扰动会严重破坏长文本的连贯性和分析价值,而且私有化文本仍可能面临重建攻击。

DP代表了形式化隐私保护的极端。本文将DP-MLM作为基线对比,展示了其在低隐私预算下(epsilon=10, 30)提供完美隐私保护但几乎失去所有效用,在高隐私预算下(epsilon >= 50)则隐私保护显著下降。这凸显了在实用场景下需要介于NER和DP之间的方法。

研究动机

现有文本匿名化方法在面对智能体LLM重识别攻击时存在严重缺陷。传统NER-based方法(如Microsoft Presidio)仅能移除显式标识符(姓名、邮箱、日期等),但LLM能够利用上下文中的线索进行推理攻击。例如,访谈记录中提到我在应用传感器物理学工作,专门研究使用台面干涉测量法检测弱环境场和我们写了一篇论文,目前正在评审中,提出了一个校准物体移动产生的噪声建模通用机制,这些看似安全的细节组合起来,agentic LLM可以通过web搜索找到对应论文和作者,从而重新识别受访者。现有LLM-based匿名化方法要么只考虑防止LLM提供商隐私泄露,要么测试非智能体重识别,或使用差分隐私但牺牲过多可读性和分析价值。这种结构性张力使得在保留参与者隐私和保留下游分析所需的数据价值之间难以平衡。

本文的目标是本文的核心目标是在防御现实世界agentic web-search重识别威胁的同时,保留下游使用所需的信息。具体而言,作者希望解决两个关键问题:第一,agentic攻击使得敏感span定位必须超越预定义类别,因为攻击成功依赖于上下文线索的可用性,这些线索不仅包括典型个人属性,还反映只有与外部证据结合时才变得可识别的小众、特异细节;第二,识别这些线索还不够,与显式标识符不同,产生重识别风险的上下文线索往往携带实质性的下游洞察。匿名化必须决定不仅哪些span有风险,还要如何转换它们以保留效用。作者的目标是在实用性和隐私之间找到平衡点,而不是简单地移除所有可能的信息。

与已有工作不同的是,本文的独特切入角度是首次在抵抗现实世界agentic web-search重识别和保留下游分析效用之间的操作区域进行优化和评估LLM文本匿名化。与之前工作的关键区别在于威胁模型的强度:agentic重识别中LLM代理将文本线索与web搜索证据结合来识别具有可链接在线追踪的普通个人,这既更动态也更难以防御。因此,将智能体攻击者放在每次重写迭代中是不现实的。AURA的mask-reconstruct框架提供了解决方案:将问题解耦为两部分,一是一次性运行agentic攻击者来识别可用于重识别受访者的属性,二是仅使用LLM-based属性推理来检查第一步产生的属性的保留情况。这种设计使得能够在合理的计算成本下评估和优化隐私-效用权衡。

核心方法

AURA采用三阶段mask-reconstruct框架,核心思想是将在哪里干预与如何重写解耦。Phase 0初始化阶段,使用LLM with web search扩展基础隐私范围(8个属性)到文本特定的准标识符,并提取效用/洞察档案。Phase 1掩码收敛阶段,迭代运行隐私推理反馈重写过程,直到无法推断出更多属性或达到收敛轮数,通过diff原始文本和重写文本生成掩码模板和映射。Phase 2重建评估选择阶段,仅对掩码span生成N个候选替换字典,组装候选重写,然后并行评估每个候选的隐私严重度(通过属性推理攻击者)、特异性计数(通过特异性审计员)和效用损失(通过守护者),最终选择满足特异性上限且最小化隐私严重度和效用损失的候选。这种设计使得可以集中计算资源在agentic重识别评估上,而迭代重写过程仅需轻量级的属性推理检查。

AURA的核心创新点在于mask-reconstruct框架的解耦设计,与已有方法存在本质区别。传统的端到端LLM重写方法要求一个模型generically重写整个访谈,这要么无法有效控制隐私-效用权衡,要么需要在每次迭代中都运行计算密集的agentic攻击者。已有的迭代对抗匿名方法[35]虽然也使用反馈迭代,但没有mask-reconstruct的解耦设计,因此无法有效地分离隐私定位和实用保留。AURA的创新在于:第一,将隐私范围从固定的8个属性扩展到文本特定的准标识符,通过web-search主动发现缺失的准标识符;第二,通过掩码阶段识别需要干预的span,重建阶段仅对这些span进行重写,而不是重写整个文本;第三,使用三个评分(隐私严重度、特异性计数、效用损失)进行候选选择,优先满足特异性约束,然后最小化隐私严重度,最后最小化效用损失。这种设计使得AURA能够在计算可行的范围内优化隐私-效用权衡。

方法步骤详情

AURA的完整流程包含三个阶段。Phase 0初始化:给定访谈记录T,首先使用LLM with web search基于8个基础属性确定可用于重识别受访者的附加个人属性,加入最终隐私范围A,同时提取证据spans构成黑名单B。然后提取洞察档案P,总结T的主题内容,涵盖8个效用维度(主题内容、体验叙述、情感表达、推理与信念、行为模式、关系动态、时间结构、领域知识)。Phase 1掩码收敛:从初始文本t_0 = T开始,每轮迭代r对当前文本t^(r-1)使用LLM推断隐私范围A中的属性,然后产生重写文本t^(r)以减少属性泄漏,重复直到无法推断属性或达到R_mask轮。最后通过diff原始文本T与收敛重写文本t^(R_mask)构建掩码模板T_hat(用占位符[MASK_i]替换)、掩码映射M = {i -> s_i}(从掩码ID到原始spans)以及种子替换S_seed。Phase 2重建评估选择:给定T_hat、M、S_seed和洞察档案P,重建器仅对掩码span生成N个候选替换字典{R^(1), ..., R^(N)},组装候选重写{T^(1), ..., T^(N)}。对所有候选并行运行:属性推理攻击者用隐私范围A重跑隐私推理,计算隐私严重度S_n = sum_a P_a^severity;特异性审计员检查特异性检查表C中哪些维度仍然过于具体,计数为C_n;守护者比较原始文本、候选重写和掩码映射,评分8个效用维度中丢失了多少研究有价值内容,求和得到效用损失L_n = sum_u P_u^loss。选择策略:首先筛选满足特异性上限的可接受集合V = {n : C_n <= C_max};如果V非空,选择最小化(S_n, L_n)的候选;如果V为空,则按序最小化(C_n, S_n, L_n),优先修复特异性,然后严重度,最后效用。最终返回T* = T^(n*)。

技术新颖性

AURA的技术新颖性体现在多个方面。首先,这是首个在抵抗现实世界agentic web-search重识别和保留下游分析效用之间的操作区域进行优化和评估的LLM文本匿名化方法。其次,mask-reconstruct框架的创新设计将隐私定位与实用保留解耦,使得可以一次性运行计算密集的agentic攻击者来识别属性,而迭代重写过程仅需轻量级的属性推理检查,显著降低了计算成本。第三,自适应隐私范围扩展通过web-search主动发现文本特定的准标识符,这是相对于固定8属性范围的关键改进。第四,候选选择策略采用隐私优先原则,首先强制特异性约束,然后最小化隐私严重度,最后最小化效用损失,这种设计确保了在实用性和隐私之间的明确优先级。第五,实验设置的创新在于构建了27个可重识别的访谈记录基准,通过应用agentic重识别攻击到1250个转录本并仅保留具有可验证识别证据的情况,这是一个小但具有挑战性的基准,包含来自真实个体的长、信息丰富的访谈转录本。

AURA overview
Figure 1: AURA overview

实验结果

论文在27个可重识别的Anthropic Interviewer访谈记录上进行了全面评估,使用三个攻击者模型(GPT-5.1、GPT-5.4-mini、Gemini-3-Flash)测试隐私保护效果。核心发现包括:在隐私方面,AURA的自适应隐私范围变体在所有三个攻击者下始终是最少可重识别的(0-5/27),显著低于NER-based删除(13-21/27)和先前的LLM-based匿名化器[35](6-7/27)。具体而言,自适应隐私AURA (GPT-4.1)在GPT-5.1、GPT-5.4-mini、Gemini-3-Flash下分别为2/27 (7.4%)、3/27 (11.1%)、0/27 (0.0%),而8-attribute AURA (GPT-4.1)分别为6/27 (22.2%)、8/27 (29.6%)、7/27 (25.9%)。DP-MLM在低隐私预算下(epsilon=10, 30)实现完美隐私保护(0/27),但在宽松设置下(epsilon >= 50)变为适度可重识别(1-5/27)。在效用方面,API驱动的AURA的8-attribute运行恢复80.6%的profile事实、93.3%的codebook事实和77.1%的utility-grid单元,而自适应隐私变体保持接近的单元级效用(74.9%)同时保持高codebook恢复(95.1%)。设备端8-attribute AURA表现相似:Qwen3.5-27B达到78.8% profile恢复、96.0% codebook恢复和78.7% utility-grid恢复,而Qwen3.5-35B-A3B达到79.4%、96.2%和80.2%,在8-attribute变体中实现最高的单元-grid效用。匿名化器基线达到72.1%单元级utility-grid恢复,Presidio、最小one-shot重写和详细one-shot重写分别达到96.7%、92.8%和98.2%。DP-MLM在所有评估隐私预算下准确性显著较低,单元级utility-grid恢复范围从0.0%(epsilon=10)到60.1%(epsilon=140)。跨攻击者鲁棒性分析显示,AURA的自适应变体在所有三个攻击者模型下保持低重识别率。GPT-5.4-mini是总体最强的攻击者,最佳性能的自适应隐私AURA变体在其下仍然保持鲁棒。重要的是,虽然GPT-5.1在掩码阶段用于生成自适应隐私范围,但AURA的相对保护强度并不特定于GPT-5.1,这表明AURA的隐私增益在攻击者选择之间泛化,对于更强或失配的攻击者模型具有鲁棒性,而不是针对生成期间使用的同一模型进行优化的产物。Pareto前沿分析显示,AURA的自适应变体位于最接近右上角的位置(高隐私成功率和高效用),AURA的8-attribute变体在隐私轴上紧密聚集,DP-MLM占据高隐私但低效用区域,Presidio与one-shot重写占据高效用但低隐私区域。

Agentic re-identification on 27 transcripts using GPT-5.1, GPT-5.4-mini, and Gemini-3-Flash as attacker models
Table 1: Agentic re-identification on 27 transcripts using GPT-5.1, GPT-5.4-mini, and Gemini-3-Flash as attacker models
Utility preservation across 27 transcripts
Figure 2: Utility preservation across 27 transcripts
Pareto front for privacy success vs. utility-grid unit recovery (GPT-5.4-mini)
Figure 3: Pareto front for privacy success vs. utility-grid unit recovery (GPT-5.4-mini)
查看结构化数据
任务指标本文基线提升
Agentic re-identification Re-ID count / rate AURA (adapt. privacy, GPT-4.1): GPT-5.1=2/27(7.4%), GPT-5.4-mini=3/27(11.1%), Gemini-3-Flash=0/27(0.0%) Anonymizer: GPT-5.1=6/27(22.2%), GPT-5.4-mini=7/27(25.9%), Gemini-3-Flash=7/27(25.9%); Presidio: GPT-5.1=13/27(48.1%), GPT-5.4-mini=21/27(77.8%), Gemini-3-Flash=17/27(63.0%) 相比Anonymizer基线,自适应隐私AURA在GPT-5.1上降低重识别率66.7%,在GPT-5.4-mini上降低57.1%,在Gemini-3-Flash上降低100.0%。相比Presidio,自适应隐私AURA在GPT-5.1上降低重识别率84.6%,在GPT-5.4-mini上降低85.7%,在Gemini-3-Flash上降低100.0%。
Utility preservation Unit-level utility-grid recovery AURA (8-attribute, GPT-4.1): 77.1%; AURA (adapt. privacy, GPT-4.1): 74.9%; AURA (8-attribute, Qwen3.5-27B): 78.7%; AURA (8-attribute, Qwen3.5-35B-A3B): 80.2% Anonymizer: 72.1%; Presidio: 96.7%; One-shot minimal: 92.8%; One-shot detailed: 98.2%; DP-MLM (epsilon=140): 60.1% 相比Anonymizer基线,8-attribute AURA (GPT-4.1)提升utility-grid恢复6.9个百分点,Qwen3.5-27B提升7.0个百分点,Qwen3.5-35B-A3B提升11.3个百分点。相比Presidio,8-attribute AURA牺牲19.6个百分点utility-grid恢复但换取显著更好的隐私保护。相比DP-MLM (epsilon=140),AURA在保持更好隐私的同时提升utility-grid恢复17-20.1个百分点。
Privacy-utility tradeoff Pareto frontier dominance AURA adaptive variants lie on or near Pareto front, outperforming baselines on privacy-utility frontier Anonymizer, Presidio, one-shot rewriting, DP-MLM 在相同属性范围下,8-attribute AURA Pareto-dominates先进匿名化器[35],在可比隐私下实现更高utility(72.1% vs 77.1-80.2%)。自适应AURA变体进一步扩展这种优势,仅以小的utility代价(74.9%-80.3%单元-grid恢复)改善隐私。

局限与改进

作者承认了几个局限性。首先,评估使用模拟效用恢复和模拟agentic web-search重识别,因此报告的数字是受控压力测试结果而非匿名性保证。效用grid通过事实恢复近似下游定性分析,但不能完全捕获人类对可读性、细微差别或开放式解释价值的判断;同样,攻击成功取决于攻击者模型、提示协议、可用的web证据和评估时的搜索排名。由于设置涉及真实参与者转录本[11],隐私评估必须避免成为新的暴露来源。评估报告为聚合结果而非身份、搜索痕迹或重识别证据。所有报告的原始转录本代表性示例都是合成的,以防止通过直接搜索定位。本研究被机构审查委员会审查,并被确定为豁免。此外,跨攻击者结果突出了隐私保护难以面向未来:更强或不同对齐的攻击者可能会暴露在单个评估模型下不明显的剩余风险。真实世界运营商应将匿名化视为多阶段风险管理过程而非一次性编辑步骤。这包括告知参与者剩余重识别风险、监控高风险属性类型、应用模型端保障措施,并在部署前评估多个攻击者模型的发布。

独立分析的弱点

AURA存在几个潜在的弱点。首先,计算成本问题:Phase 1需要运行多轮迭代重写(默认R_mask轮),Phase 2需要生成N个候选重写并对每个进行三个评分,在大规模数据集上可能计算密集。虽然设计上将计算密集的agentic攻击者限制在Phase 0一次性运行,但整体成本仍高于简单的NER-based方法。改进方向可以包括:开发更早停止的策略(当掩码收敛时提前终止),减少候选数量N但提高质量,或使用更轻量的模型进行属性推理和特异性检查。第二,隐私范围依赖web搜索的时效性:准标识符的识别依赖于web搜索能找到的公开证据,如果相关证据被删除或搜索引擎排名变化,隐私范围的准确性会受影响。改进方向可以包括:定期重新评估隐私范围,或使用多个搜索引擎聚合结果。第三,特异性检查表需要定制化:论文中提供的5维特异性检查表是为[11]数据集设计的,不同数据集可能需要定制化的C。改进方向可以包括:开发自动化的特异性检查表生成方法,或从数据中学习通用的特异性维度。第四,缺乏形式化隐私保证:与差分隐私不同,AURA提供的是经验性的隐私保护,没有数学保证。改进方向可以包括:将AURA与DP结合,或在mask阶段引入calibrated noise。

未来方向

作者提出和可延伸的未来研究方向包括:多属性动态范围扩展,当前的自适应隐私范围是一次性扩展,未来可以探索在掩码阶段动态扩展范围,当发现新的准标识符时立即加入隐私范围。更丰富的效用建模,当前效用评估集中在profile和codebook事实,未来可以扩展到更多维度,如可读性、叙事连贯性、情感保留等。更强的攻击者模型,当前评估使用三个攻击者模型,未来可以探索更多样化的攻击者,包括使用不同搜索引擎、不同提示策略、或结合多模态证据的攻击者。自动化特异性检查,当前需要手动定义特异性检查表,未来可以开发自动化的特异性审计方法,从数据中学习哪些细节过于具体。领域自适应,当前方法在访谈记录上评估,未来可以探索适应其他领域,如医疗记录、社交媒体帖子、客服对话等。本地部署优化,当前本地部署版本(Qwen3.5-27B/35B-A3B)已经表现良好,未来可以探索更小的模型(如7B、14B)通过蒸馏或量化实现相同性能,进一步降低部署门槛。长期评估,当前评估是一次性的,未来可以进行纵向研究,跟踪匿名化文本在长期发布后的重识别风险变化,评估web证据随时间演变的影响。

复现评估

AURA的可复现性评估相对良好。作者在论文中提供了源代码链接(https://github.com/AaronLi43/AURA),这为复现提供了基础。附录B包含了所有三个阶段使用的LLM prompts,这对于精确复现实验设置至关重要。附录A包含了超参数设置,详细说明了Phase 1的掩码收敛轮数R_mask和Phase 2的候选批量大小N等关键参数。评估数据基于公开的Anthropic Interviewer数据集[11],但作者构建了一个挑战性的子集,包含27个可重识别的访谈记录。复现需要访问原始数据集和重识别攻击的验证证据。计算成本方面,API驱动的AURA需要OpenAI API访问权限(GPT-5.1用于隐私范围扩展,GPT-4.1用于其他任务),这可能产生显著成本。设备端版本需要部署Qwen3.5-27B或Qwen3.5-35B-A3B模型,这需要相当大的GPU资源(估计需要40-80GB显存)。实验设置相对复杂,包括web-search工具调用、多个LLM任务的协调、以及三个独立的评估(隐私攻击、特异性审计、效用保留)。总体而言,复现难度中等偏高,需要良好的基础设施和API访问权限,但作者提供了足够的细节和代码支持使得复现是可行的。