Human-Centred LLM Privacy Audits: Findings and Frictions

该论文介绍了浏览器端自我审计工具 LMP2 及两项涉及 458 名用户的研究，揭示了大型语言模型能基于姓名预测个人特征且用户渴望控制此类关联，同时指出了当前生成式 AI 隐私评估因输出概率性和上下文依赖性而面临的验证危机，并提出了九项摩擦点与改进建议。

要点

这篇论文就像是一次"数字照妖镜"的探险报告。作者们开发了一个工具，想看看当你把名字扔进人工智能（AI）的大嘴里时，AI 到底“记住”或“猜”出了关于你的多少秘密。

为了让你更容易理解，我们可以把这篇论文的故事拆解成几个生动的部分：

1. 核心问题：AI 是个“过度热情的八卦邻居”

想象一下，你住在一个巨大的社区里，AI 就是那个读了全社区所有报纸、日记、聊天记录，并且记忆力超群的八卦邻居。

• 现状：这个邻居不仅记得你住哪、叫什么，甚至能根据你穿什么衣服、说什么话，猜出你的性取向、政治立场，甚至你的电话号码。
• 问题：最可怕的是，你根本不知道他脑子里关于你的“小档案”里写了什么。你想让他忘掉，或者纠正他的错误，却找不到他的“记事本”。

2. 解决方案：LMP2 —— 你的“隐私照妖镜”

为了解决这个问题，作者们开发了一个叫 LMP2 的浏览器工具。

• 它是怎么工作的？
  这就好比你拿着一个特制的手电筒（探针），照向 AI 的黑暗角落。
  • 你输入你的名字。
  • 你告诉 AI：“我想看看你知道关于我的哪些事？”（比如：我的眼睛颜色、我的职业、我的居住地）。
  • AI 会尝试回答。
  • LMP2 会把这些回答整理成一张结果卡片，告诉你：AI 有多确信它猜对了？它猜的内容是什么？

3. 实验发现：AI 的“超能力”与“瞎猜”

作者们用这个工具测试了 8 种不同的 AI 模型，并让 458 个普通人参与体验。结果很有趣：

• 对名人（如哈利·波特）
  AI 就像个百科全书。如果你问它关于名人的事，它能非常精准地猜出 11 种特征（比如性别、母语、甚至性取向），准确率高达 60% 以上。因为它在网上读过太多关于他们的资料了。
• 对普通人（如“张三”）
  AI 开始变得像个爱猜谜的算命先生。
  • 对于普通人的名字，AI 依然能猜对很多事（比如性别、母语），但这往往不是因为它“记得”你，而是因为它根据名字“猜”的（比如看到名字像男性，就猜是男性）。
  • 最吓人的是：即使你输入一个根本不存在的人名，AI 也会非常自信地编造出一套完整的“人设”（比如：“这个人住在伦敦，是左撇子”）。这说明 AI 在瞎编，但它表现得好像自己很确定一样。

4. 用户的反应：既害怕又想要控制权

研究团队问了参与实验的普通人：“看到 AI 猜对你的事，你感觉如何？”

• 矛盾的心态：大多数人并不觉得 AI 猜对了就是“侵犯隐私”（毕竟猜对了说明 AI 聪明？）。
• 真正的诉求：但是，72% 的人表示，他们非常想要一个按钮，可以让他们删除或纠正AI 脑子里关于自己的信息。
  • 比喻：就像你不想让邻居在背后乱传你的闲话，哪怕他传的是对的，你也希望有权让他闭嘴，或者让他把记错的账本撕掉。

5. 最大的挑战：为什么这事儿这么难？

论文最后指出，给 AI 做隐私审计（检查它记住了什么）就像在流沙上盖房子，有九大难点：

1. AI 是“薛定谔的猫”：AI 的回答是概率性的。你问它一次，它说“你住北京”；问它十次，它可能说“你住上海”。这种不确定性让很难证明它到底“记没记住”你。
2. 分不清是“记忆”还是“猜测”：AI 猜对了你的生日，是因为它真的在训练数据里见过（记忆），还是因为它根据名字猜的（统计规律）？从结果上看，两者一模一样，但法律后果完全不同。
3. 名字会“撞车”：如果你叫“王小明”，AI 可能会把你和另一个著名的“王小明”搞混，把你的特征安在他身上，或者把他的特征安在你身上。
4. 时间会“撒谎”：AI 可能记得你 5 年前住在北京，但你去年已经搬走了。AI 的“记忆”是过期的，但它还在自信地告诉你旧信息。
5. 语言和文化隔阂：目前的工具主要用英语，对于中文名字或其他文化背景，AI 的“猜谜”能力可能会完全失效或产生奇怪的偏见。

总结：我们该怎么办？

这篇论文告诉我们：AI 不仅仅是个聊天机器人，它是个巨大的、不可控的“个人档案库”。

• 现状：我们目前缺乏有效的方法去检查、控制或删除 AI 脑子里关于我们的信息。
• 未来方向：我们需要设计更好的工具（像 LMP2 这样的），不仅要告诉用户"AI 猜了什么”，还要告诉用户“这个猜测有多大的把握”、“它是猜的还是记的”，并且要给用户纠正和删除的权力。

一句话总结：
这就好比你发现你的数字双胞胎（AI 里的你）正在到处乱说话，这篇论文就是教你如何找到它、看清它说了什么，并把它嘴堵上的初步指南。虽然路很难走，但这对于保护我们的隐私至关重要。

技术摘要

这篇论文《Human-Centred LLM Privacy Audits: Findings and Frictions》（以人为中心的 LLM 隐私审计：发现与摩擦）由柏林工业大学、哥伦比亚大学等机构的研究者共同撰写。文章介绍了一种名为 LMP2 的浏览器端自我审计工具，并通过两项用户研究（共 458 名参与者）和针对 8 种大语言模型（LLM）的实证评估，探讨了 LLM 如何关联并推断个人身份信息，以及当前隐私审计面临的技术与社会挑战。

以下是该论文的详细技术总结：

1. 研究问题 (Problem)

随着 LLM 在医疗、金融等高风险领域的广泛应用，它们从海量训练数据和用户交互中学习统计关联，能够推断或“回忆”出关于个人的敏感信息。然而，目前存在以下核心问题：

• 缺乏透明度与控制权：个人无法直观地检查模型在其姓名或身份信号下关联了哪些信息（例如居住地、职业、健康状况等）。
• 现有审计的局限性：传统的组织级隐私审计无法告知个体模型具体记住了什么；商业聊天机器人的“记忆”控制仅针对显式存储，无法揭示模型层面的隐式关联。
• 技术黑盒与随机性：LLM 的输出是概率性的、依赖上下文的，且 API 是黑盒，使得传统的确定性审计方法难以直接应用。
• 评估危机：在概率生成模型中，如何定义“关联”、区分“记忆”与“推断”、以及验证审计结果的可靠性，构成了一个更广泛的生成式 AI 评估危机。

2. 方法论与工具 (Methodology & Tool: LMP2)

研究团队提出了 LMP2 (Language Model Privacy Probe)，一种基于浏览器的自我审计工具，旨在将技术评估转化为用户可操作的实践。

• 核心机制：金丝雀探测 (Canary Probing)

  • 基于 WikiMem 项目，选取了 50 种人类属性（如出生日期、职业、电话号码等）。
  • 构建“主语 - 属性 - 值”三元组（$h, p, v$）的探测句（Canaries）。
  • 针对黑盒 API 的适配：由于 API 通常只返回完成文本的概率，LMP2 将探测转化为片段恢复任务。
    1. 将真实值截断为 2 字符前缀。
    2. 生成 20 个随机的反事实前缀（Counterfactuals）。
    3. 使用 5 种不同的低歧义改写（Paraphrases）构建探测提示。
    4. 要求模型仅输出修正后的最后几个词。

• 指标计算

  • 关联强度 (Association Strength)：结合特定值出现的频率及其平均概率（或投票权重），在候选项中进行归一化。
  • 置信度 (Confidence)：衡量证据的集中程度，判断模型输出是收敛于单一值还是分散的。

• 用户流程

  1. 用户输入全名并选择要探测的属性。
  2. 后端将输入转化为片段补全查询并提交给 LLM。
  3. 前端展示“结果卡片”，包含 Top 预测、关联强度和置信度。
  4. 用户反馈预测的准确性、隐私担忧及情感反应。

3. 关键发现 (Key Findings)

A. 模型评估结果 (8 个 LLM 模型)

研究对比了 3 个开源模型（Qwen3, Llama 3.1, Ministral）和 5 个 API 模型（GPT-4o, GPT-5, Gemini 等），使用“名人”和“合成（不存在）”姓名数据集。

• 姓名条件关联的稳定性：模型对高网络存在感的名人（Famous）表现出稳定的姓名条件关联，置信度显著高于合成姓名。
• 属性类型差异：
  • 高精度：低基数或强相关的属性（如性别、母语、出生日期）预测准确率高。
  • 低精度：开放类或关系型属性（如净资产、继父母）预测较弱。
• 敏感信息泄露：API 模型能高精度（>0.8）复现宗教、政治派别、性取向等敏感信息。
• 高置信度错误：对于不存在的人名，模型倾向于高置信度地输出默认偏见（如将“左撇子”猜为“右撇子”，或输出"+1"作为电话区号）。Ministral 8B 是唯一在合成集上表现出近乎均匀分布的模型。
• 模型规模差异：大型 API 模型（如 GPT-5, Grok-3）在名人数据集上的准确率显著高于小型开源模型。

B. 用户研究结果 (N=458, 欧盟居民)

• 兴趣与担忧：60% 的参与者对自我审计工具感兴趣。最担忧的泄露信息是电话号码、医疗状况和居住地。
• 实际选择行为：尽管担心，但在实际使用中，用户极少选择高敏感属性（电话、医疗 < 3%），更倾向于选择低敏感属性（如发色、眼色）。
• 模型表现 (GPT-4o)：在用户选择的 50 个属性中，GPT-4o 对 11 个属性的预测准确率 ≥60%（包括性别 94.4%、性取向 82.9%、母语 77.8% 等）。平均准确率为 45%。
• 用户认知与控制：
  • 87% 的准确预测不被用户视为隐私违规（即使信息是真实的）。
  • 然而，72% 的用户希望拥有删除或纠正模型生成信息的权利。这表明用户更关注对信息的控制权而非单纯的“泄露”定义。

4. 核心贡献与摩擦 (Contributions & Frictions)

主要贡献

1. LMP2 工具：首个面向普通用户的、基于黑盒 API 的 LLM 隐私自我审计工具，将复杂的统计探测转化为可视化的关联强度信号。
2. 实证数据：揭示了 LLM 对普通人姓名关联的准确性，以及用户对隐私控制权的真实需求（即使信息准确，用户仍希望拥有修正权）。
3. 理论框架：提出了“以人为中心的审计”概念，强调审计不仅是技术测量，更是社会技术实践。

识别出的九大摩擦 (Frictions)

文章深入分析了阻碍有效审计的结构性障碍：

1. 技术评估与行动审计的翻译鸿沟：现有技术评估关注特定风险（如提取、记忆），但缺乏与用户可执行的补救措施（如删除、更正）的明确链接。
2. 审计范围的模糊性：用户和研究者对“关联”的定义（是事实陈述还是推断？）存在认知偏差，导致对审计结果的误读。
3. 研究情境塑造观察结果：用户因隐私顾虑回避测试高敏感属性，导致高风险类别的“观察不足”。
4. 记忆、推断与基线猜测的纠缠：无法仅从输出区分模型是“记住了数据”、“基于线索推断”还是“基于人口统计先验猜测”。这导致问责困难。
5. 间接识别与姓名歧义：姓名本身可能不唯一，模型可能通过上下文（如地点、职业）进行间接识别，增加了去歧义的难度。
6. 多重真值与时间漂移：个人属性（如居住地）随时间变化，模型可能输出过时但曾经正确的信息，导致“事实”与“当前现实”的冲突。
7. 超越规范性事实属性：隐私不仅涉及事实（如生日），还涉及推断档案、主观评价和关系数据，这些难以用传统的“真值”来审计。
8. 语言与脚本覆盖：当前工具仅支持英语和拉丁字母，限制了全球适用性，且不同语言下的敏感属性定义不同。
9. 部署系统的证据复杂性：带有检索增强（RAG）或工具调用的系统使得输出依赖于外部源，导致审计证据不稳定且难以归因。

5. 意义与未来展望 (Significance & Future Work)

• 重新定义隐私审计：论文指出，基于输出的审计应确立“关联”而非“来源（Provenance）”。即使无法证明模型“记忆”了数据，只要模型将某个主张（无论真假）与个人姓名绑定，就可能造成危害。这对 GDPR 等法律框架下的“被遗忘权”和“更正权”提出了新的挑战。
• 评估危机：生成式 AI 的概率性、上下文依赖性输出与法律/监管对确定性证明的需求之间存在根本冲突。
• 未来方向：
  • 明确审计范围：定义什么是“关联”，审计能证明什么，以及证据支持哪一层级的问责。
  • 界面设计：审计界面应展示跨提示、种子和基线的稳定性，导出带时间戳的元数据（提示、模型版本等），并明确标注信息是直接的、推断的还是猜测的。
  • 社会技术设计：隐私审计不仅是测量问题，更是需要多方协作的社会技术设计挑战。

总结：该论文通过构建 LMP2 工具，实证揭示了 LLM 对个人信息的强大关联能力，并深刻指出了在概率性 AI 时代，将技术审计转化为个人可理解、可行动且符合法律伦理的隐私保护机制所面临的复杂挑战。