在本月早些时候欧盟对X平台开出罚单后,埃隆·马斯克宣布该平台的整个推荐算法将开源。这一举措看似是为了通过提供更大的透明度来缓解监管压力,让人们了解这家社交媒体巨头如何组织用户的时间线。
通常情况下,IT专业人士看到某项技术开源的消息时,会微笑着继续自己的工作。但上周,我在X平台上看到了一个有趣的讨论串,解释了这一举措实际上如何通过"行为指纹"暴露匿名小号账户,无论是好是坏。
X平台上一位名为@Harrris0n的开源情报爱好者最近发布了他在挖掘该平台现已开源的推荐代码时的发现。如果你关心隐私或者运营着整个机器人账户网络,他的发现有些令人恐惧。
在X的代码库中隐藏着一个叫做"用户行为序列"的东西。
这不仅仅是一个简单的日志记录。它是一个Transformer上下文,编码了你在平台上的整个行为历史。它追踪你暂停滚动的具体毫秒数、触发你屏蔽的账户类型、你感兴趣的具体内容类型,以及你与之互动的确切时刻。在你看到第一条猫咪帖子之前,它就代表了数千个收集到的个人数据点。
现在,有趣的地方来了。X使用这个序列来预测用户参与度(基本上是提供最相关的内容来让你留在平台上),同时创建了一个高保真度的行为指纹。
Harrison发现,如果你在一个已知账户上运行这种编码,然后使用代码库中称为"候选隔离"的功能将其与数千个匿名账户进行比较,你会得到匹配结果。异常高的匹配度。他甚至详细说明了构建这种去匿名化工具所需的具体方法,而且门槛非常低。
根据他的讨论串,任何人只需要行为序列编码器(X代码库刚刚提供了这个)、嵌入相似性搜索和一点运气。对大多数人来说,唯一缺少的部分是已确认小号账户的训练数据,但Harrison指出他从多年的威胁行为者追踪中已经拥有了这些数据。
理论上,你可以将公开X用户的相同行为指纹映射到匿名用户,甚至可能跨平台映射到Reddit和Discord上的账户。这表明你可以轻易改变用户名,但改变习惯要困难得多。
那么,一个临时账户真的是匿名的吗?我让你自己决定。
我想在Security Bite上分享这个讨论串,因为它提醒我们这些算法往往比你自己更了解你。而那个数字版本的你仍然是脆弱的。
Q&A
Q1:X平台的用户行为序列是什么?
A:用户行为序列是X平台推荐算法中的一个Transformer上下文,它编码用户在平台上的整个行为历史,包括滚动暂停的毫秒数、屏蔽账户类型、内容偏好和互动时刻等数千个数据点,用于预测用户参与度并创建行为指纹。
Q2:开源推荐算法如何威胁匿名账户安全?
A:通过开源的行为序列编码器和候选隔离功能,研究人员可以将已知账户的行为指纹与匿名账户进行比较,获得异常高的匹配度,从而实现去匿名化。这种方法门槛很低,只需要编码器、相似性搜索和训练数据。
Q3:行为指纹识别技术能跨平台使用吗?
A:理论上可以。研究表明,相同的行为指纹可以从X平台的公开用户映射到匿名用户,甚至可能跨平台映射到Reddit和Discord等其他平台的账户,因为改变用户名容易,但改变行为习惯很困难。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。