Модели ИИ могут раскрыть вашу личность через рекламу в соцсетях

По данным Helpnetsecurity, исследование демонстрирует, что современные системы показа рекламы на социальных платформах позволяют извлекать личную информацию пользователей даже при отсутствии прямой таргетировки. Это открывает новые риски для конфиденциальности, связанные с использованием мультимодельных языковых моделей (LLM), способных анализировать визуальный и текстовый контент рекламных объявлений.

Механизм угрозы: профилирование через пассивное наблюдение

Исследователи разработали алгоритмическое профилирование, в котором LLM выступает в роли инструмента для инференса, позволяя восстанавливать демографические и политические атрибуты пользователя. В ходе эксперимента модель обработала около 435 000 рекламных объявлений, полученных от 891 пользователя. В качестве инструмента анализа выступил Gemini 2.0 Flash, который суммировал тексты и изображения, а затем на основе этих данных предсказывал такие характеристики, как возраст, пол, уровень образования, занятость и политические предпочтения.

Результаты показали, что модель способна предсказывать атрибуты с точностью, превышающей случайное предположение. Так, для пола точность составила 59%, для занятости — 48%, для политических предпочтений — 35%. Даже при неправильном определении конкретной категории модель часто находила близкие значения. Это указывает на то, что профилирование возможно даже при коротких сессиях просмотра контента.

Сравнение с человеческим суждением

Для проверки эффективности модели, исследователи сравнили её с оценками, сделанными людьми. В ходе теста независимые оценщики анализировали те же объявления и пытались определить личные атрибуты. Результаты показали, что модель в целом не уступает, а в ряде случаев превосходит человеческое суждение. Особенно это касается таких категорий, как уровень образования, занятость и политические предпочтения. Однако и модель, и люди показали слабые результаты при определении дохода.

Канал атаки: браузерные расширения

Особенно тревожным аспектом является возможность реализации атаки через браузерные расширения, которые легально имеют доступ к содержимому веб-страниц. Такие инструменты, как блокировщики рекламы, переводчики или скидочные плагины, могут скрытно собирать информацию о рекламных объявлениях, показанных пользователю. Это позволяет злоумышленникам обойти стандартные меры защиты, так как пользователи чаще всего сосредоточены на безопасности кода, а не на том, что может быть выведено из видимого контента.

Такой метод позволяет автоматизировать процесс сбора данных и масштабировать профилирование, не оставляя следов. Благодаря оптимизации рекламных систем, платформа сама может создавать паттерны, которые затем используются для восстановления конфиденциальной информации. Это делает уязвимыми даже те системы, где прямая таргетировка по чувствительным категориям была отключена.

Глобальная природа угрозы

Хотя данные для исследования были взяты из Facebook⋆, механизм применим к любой платформе, где реклама адаптируется под поведение пользователя. Распространение моделей ИИ и доступ к API значительно снизили порог входа для злоумышленников. Теперь достаточно базовых технических навыков, чтобы собирать и анализировать данные.

Интересно: Какие меры защиты смогут эффективно противостоять угрозам, основанным на скрытых сигналах, которые пользователь даже не замечает?

i

Создано специально для ASECTOR

Концептуальное изображение

Когда реклама становится шпионкой: новые риски для приватности в эпоху ИИ

Угроза, которую нельзя увидеть

Современные алгоритмы показа рекламы не только продают товары — они собирают информацию о пользователях. Это не ново. Но теперь ИИ делает эту работу не только точнее, но и скрытнее. Даже если пользователь не разрешал таргетировку, его профиль может быть восстановлен по рекламе, которую он видел.

Ключевой момент здесь — пассивное профилирование. Оно не требует активного взаимодействия, отслеживания кликов или ввода данных. Достаточно одного-двух объявлений, и модель, обученная на миллионах схожих примеров, может предположить возраст, пол, уровень образования, политические предпочтения и даже занятость [!].

Важный нюанс: Реклама, которую мы видим, становится не только инструментом продажи — она становится источником данных, который можно использовать для восстановления личных атрибутов. ИИ делает это не хуже, а иногда лучше, чем человек.

Скрытые каналы: браузерные расширения как инструменты сбора данных

Особенно интересна реализация угрозы через браузерные расширения. Многие из них легально имеют доступ к содержимому страниц. Это может быть блокировщик рекламы, переводчик или плагин для скидок. Но те же самые разрешения позволяют собирать информацию о показанных рекламных объявлениях.

Это открывает путь к автоматическому профилированию, которое масштабируется и не оставляет следов. Пользователь не видит угрозы, потому что она не в коде — она в смысле, который ИИ извлекает из контента.

Важный нюанс: Угроза не в том, что данные утекают. Угроза в том, что они извлекаются из того, что кажется безопасным — из рекламы, которую пользователь видел.

Российский контекст: как уязвимы локальные платформы?

Для российского бизнеса и пользователей ситуация имеет свои особенности. В отличие от крупных глобальных платформ, которые активно инвестируют в защиту данных, многие отечественные сервисы пока не имеют развитой системы контроля за таргетированием. Это делает их уязвимыми к аналогичным атакам. Особенно если учесть, что модели ИИ становятся доступнее, а значит, и злоумышленникам становится легче использовать их для профилирования.

Решение здесь не в запрете ИИ — а в улучшении прозрачности алгоритмов показа рекламы. Если пользователь не знает, на основе каких данных ему показывают объявления, он не может защитить себя. А значит, бизнес, который хочет, чтобы ему доверяли, должен сделать этот процесс понятным и контролируемым.

Угрозы масштабируются: новые векторы атак

Новые данные подтверждают, что угрозы, связанные с ИИ, не ограничиваются только профилированием. Исследования показывают, что уязвимости защитных механизмов ИИ становятся всё более серьёзными. Например, методы вроде prompt injection позволяют обходить внутренние ограничения моделей, заставляя их игнорировать правила безопасности [!]. Это означает, что даже рекламные алгоритмы, защищённые на первый взгляд, могут быть использованы для непреднамеренного раскрытия данных.

Кроме того, рост доли AI-сгенерированного контента в интернете до 74% [!] увеличивает вероятность, что пользователи будут взаимодействовать с фейковыми объявлениями, которые не только несут коммерческую цель, но и собирают информацию. Особенно тревожным является тот факт, что Facebook⋆, как одна из крупнейших платформ, не предоставляет пользователям инструментов для фильтрации AI-контента, что снижает их контроль над информацией [!].

Защита: где искать слабые места?

Проблема в том, что угроза не локализована. Она может начаться с одного сайта, но распространиться на всю экосистему. Особенно если учесть, что модели ИИ могут обучаться на данных из разных источников, создавая универсальные профили, которые сложно разрушить.

Возможные меры защиты включают:

• Ограничение доступа к контенту для браузерных расширений. Например, Firefox уже внедрил функции, которые снижают эффективность цифровой слежки, ограничивая доступ к локальным шрифтам и вставляя случайные данные в графику [!].
• Маскировку рекламы от анализа ИИ, например, через изменение формата или добавление шума.
• Прозрачность алгоритмов таргетирования, чтобы пользователи могли понимать, на основе каких данных им показывают контент.
• Контроль за использованием API ИИ, чтобы предотвратить их неправомерное применение. Особенно это касается случаев, когда данные, введённые пользователем, могут быть использованы для обучения моделей, включая конфиденциальную информацию, такую как номера кредитных карт или медицинские истории [!].

Выводы

Технологии ИИ и рекламных систем продолжают развиваться, но не всегда синхронно с мерами защиты. То, что сегодня кажется удобным, завтра может стать уязвимостью. Особенно если речь идет о данных, которые пользователь даже не осознает, что предоставляет.

Для бизнеса важно не только внедрять ИИ, но и думать о его последствиях. Потому что в эпоху, когда реклама может стать инструментом шпионажа, безопасность — это не только техническая задача. Это вопрос доверия.