Sprachmodelle identifizieren pseudonyme Forenprofile in Minuten für wenige Dollar. ETH/Anthropic-Studie zeigt hohe Trefferquoten und warnt vor Risiken.
In Kürze
- KI ordnet anonymisierte Beiträge in vielen Fällen realen Personen zu
- Einfache Pipeline: Profil zusammenfassen, suchen, prüfen
- Risiken für Journalist:innen und Dissident:innen; Gegenmaßnahmen begrenzt
Dein angeblich anonymes Forum‑Profil ist vielleicht weniger anonym, als du denkst. Forschende der ETH Zürich gemeinsam mit Expertinnen und Experten von Anthropic zeigen, dass handelsübliche große Sprachmodelle in kurzer Zeit und für wenig Geld pseudonyme Internet‑Profile echten Personen zuordnen können — in Minuten und für ungefähr 1–4 Dollar pro Profil.
Wer hat wie getestet
In einem zentralen Experiment prüften die Forschenden anonymisierte Beiträge von 338 Nutzerkonten der Technikplattform Hacker News. Ein KI‑Agent ordnete rund zwei Drittel dieser Konten korrekt zu; die Fehlerquote lag bei etwa zehn Prozent. In einem weiteren Test mit 33 teilweise geschwärzten Interviewtranskripten aus dem Anthropic Interviewer Dataset gelang den Forschenden mindestens neun korrekte Zuordnungen.
Wie die Methode funktioniert — Schritt für Schritt
- Ein Sprachmodell liest die anonymen Beiträge und erstellt ein kompaktes Profil: Beruf, Wohnort, Hobbys und subtilere Hinweise zwischen den Zeilen.
- Diese Merkmale werden per Ähnlichkeitssuche mit einer großen Datenbank von Kandidatenprofilen verglichen — ähnlich wie bei einer Suchmaschine.
- Ein leistungsfähigeres Modell prüft die besten Treffer einzeln und wählt den wahrscheinlichsten Kandidaten aus.
- Abschließend schätzt das System seine eigene Trefferwahrscheinlichkeit ein und verzichtet auf eine Zuordnung, wenn es unsicher ist.
Wichtig: Anders als ältere Verfahren, die auf saubere, strukturierte Daten (Zahlen, Zeitstempel) angewiesen waren, kommt diese Methode mit unstrukturiertem Text aus Foren und Kommentarspalten aus.
Konkrete Zahlen aus weiteren Tests
- Beim Abgleich von Hacker‑News‑Konten mit LinkedIn in einem Pool von rund 89.000 Kandidaten identifizierte die Pipeline knapp die Hälfte der Nutzer mit 99% Genauigkeit; klassische Methoden erreichten nur etwa 0,1%.
- In Reddit‑Film‑Communities stieg die Erfolgsrate mit der Anzahl gemeinsamer Filmtitel: Nutzer mit mindestens zehn gemeinsamen Titeln wurden fast zur Hälfte korrekt identifiziert, bei nur einem gemeinsamen Titel lag die Trefferquote bei etwa 3%.
- Wurde die Kommentarhistorie eines Nutzers in zwei zeitlich getrennte Hälften geteilt, gelang die Zuordnung in rund zwei Dritteln der Fälle — klassische Ansätze blieben unter 1%.
- Mehr Rechenzeit („länger nachdenken“ des Modells) erhöhte die Trefferquote; hochgerechnet auf Pools mit einer Million Kandidaten lägen erfolgreiche Zuordnungen je nach Szenario bei etwa 35–45%.
Wer kann das nutzen — und was wird dagegen unternommen
Die Forschenden weisen auf Risiken hin: Staaten, Firmen oder kriminelle Akteure könnten pseudonyme Accounts von Dissidentinnen, Journalistinnen oder Kundinnen enttarnen oder sehr zielgerichtete Phishing‑Angriffe durchführen. Als mögliche Gegenmaßnahmen nennen sie Zugangsbeschränkungen für Daten oder das Erkennen automatisierter Abfragen. Die Autoren sind jedoch skeptisch gegenüber der Wirksamkeit solcher Maßnahmen, weil die Pipeline aus harmlos wirkenden Einzelschritten besteht — zusammenfassen, suchen, sortieren — und sich kaum von legitimer Nutzung abgrenzt.
Ein Testszenario zeigte außerdem Unterschiede bei aktuellen Diensten: GPT‑5 Pro lehnte die Suche mit Verweis auf eine Richtlinie gegen De‑Anonymisierung ab; auch Claude verweigerte die Ausführung. Andere Dienste wie Deepseek und Manus.ai führten die Abfragen zwar aus, lieferten in diesem Versuch aber keine brauchbaren Ergebnisse.
Praktische Hinweise für Nutzerinnen und Nutzer
Wenn du dauerhaft unter demselben Benutzernamen postest, solltest du davon ausgehen, dass Dritte deine Konten mit realen Identitäten oder untereinander verknüpfen können. Je häufiger und länger du schreibst, desto mehr Puzzlestücke sammeln sich an — und desto höher die Wahrscheinlichkeit einer Identifikation.
Ethik und Transparenz der Studie
Die Studie wurde von der Ethikkommission der ETH Zürich genehmigt. Die Forschenden veröffentlichten weder den Angriffscode noch die verarbeiteten Datensätze und legten keine persönlichen Identitäten offen.
Quellen
- Quelle: ETH Zürich / Anthropic
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
