根據媒體報導,Elon Musk 宣佈 X 的整個推薦演算法將開源,此舉似乎是為了提升透明度,讓公眾能更清楚社交媒體巨頭如何組織用戶的時間線。該消息出現在本月早些時候,當時 X 遭到歐盟的罰款。通常,IT 專業人士聽到某項功能開源時,會略微一笑並繼續工作,但近日在 X 上出現了一個引人注意的討論,探討這一變化如何可能暴露匿名帳號的行為特徵。
這位自稱為 @Harrris0n 的 OSINT 愛好者,近期在 X 上分享了他研究 X 現在開源的推薦代碼時的發現。根據他的說法,這些發現對於注重隱私的用戶或經營大量機器人帳號的用戶來說,都是相當令人擔憂的。X 的代碼庫中隱藏了一個名為「用戶行為序列」的項目,這不僅僅是一個日誌,而是一個編碼整個行為歷史的上下文。
這段編碼能追蹤用戶在平台上每一個細微的行為,包括用戶滾動時的停頓時間、觸發封鎖的帳號類型、用戶偏好的內容類型以及與內容互動的具體時刻。這些數據點累積至首次看到貓咪貼文時,已經達到數千個。接下來的情況就非常有趣,X 利用這些行為序列來預測用戶互動,從而推送最相關的內容,並同時建立高精度的行為指紋。
Harrison 指出,若將這段編碼應用於已知帳號,並將其與數千個匿名帳號進行比較,便能發現異常高的匹配率。他甚至詳細列出建立這種去匿名化工具所需的具體步驟,進入門檻非常低。根據他的推文,任何人只需擁有行為序列編碼器(X 的代碼庫已經提供)、相似性搜索以及一些運氣,便能做到這一點。對於大多數人來說,唯一缺少的只是已確認的匿名帳號的訓練數據,而 Harrison 表示他已經有了這些數據,因為他多年來一直在追蹤威脅行為者。
理論上,用戶可以將某個公開的 X 用戶的行為指紋映射到一個匿名帳號,甚至有可能跨平台應用到 Reddit 和 Discord 的帳號上。這顯示出,改變用戶名稱很簡單,但改變行為習慣卻困難重重。因此,這樣的「一次性帳號」是否真的匿名?是否會讓人深思。
這個話題在 Security Bite 中分享,是一個令人警醒的提醒,因為這些演算法往往對用戶的了解超過用戶自身。而這種數字化的自我,依然存在被暴露的風險。
如欲收聽更多內容,可以訂閱 9to5Mac Security Bite 播客,其中包含每兩週一次的深入分析及與 Apple 安全研究人員和專家的專訪。
