Zo werkt privacy vandaag. Je leest het beleid. Je klikt de cookie-banner weg. Je spit door drie instellingenmenu’s heen op zoek naar de opt-out die iemand bewust heeft begraven. Dat doe je allemaal om een recht uit te oefenen dat standaard had moeten zijn. En terwijl je nog bij de eerste alinea van de servicevoorwaarden zit, is elke klik, scroll, hover en de exacte timing van je toetsaanslagen al geoogst, verpakt en verkocht. We hebben dit als normaal geaccepteerd.
Het defensieve playbook is het standaardantwoord. Gebruik een VPN. Blokkeer trackers. Blijf van social media af. Self-host wat je kunt. Het meeste hiervan doe ik, en ik raad het aan. Maar er zit een structurele fout in die me elke keer dwarszit als ik erover nadenk.
Verdediging betekent dat je elke ronde moet winnen
Je kunt alleen blokkeren wat je kent. De widget die drie lagen diep zit in een pagina die je een keer bezocht, de analytics SDK die meegebundeld zit in een app die je vergeten was, het nieuwe tracking-domein dat vanochtend online ging - daar staat niets van op je blocklist. De verzamelaar hoeft maar één keer door te glippen om een profiel op te bouwen. Jij moet hem elke keer opnieuw vangen, op elk apparaat, voor altijd.
Dat is een spel van perfect spel, en perfect ga je het niet spelen. Ad blockers werken totdat een site ze detecteert en je ervaring verslechtert. VPNs verbergen je IP totdat fingerprinting eromheen routeert. DNS-blocking vangt bekende trackers totdat de domeinen van morgen verschijnen. De economie is scheef: een industrie met miljarden aan incentive aan de ene kant, jij en een browserextensie aan de andere.
Dus blijf ik terugkomen bij een andere vraag. Wat als je stopt met proberen elke ronde te winnen?
Wat als de data waardeloos was?
Stel je voor dat je de collectie gewoon laat gebeuren. De tracker vuurt, de SDK belt naar huis, het profiel wordt opgebouwd. Maar het profiel is rommel. Het model dat op je data getraind wordt, leert de verkeerde dingen. De adverteerder die op je aandacht biedt, biedt op ruis.
Dat is de verschuiving. In plaats van vechten om de collectie te voorkomen, wat je uiteindelijk verliest, maak je de verzamelde data onbetrouwbaar. Het systeem draait nog steeds. De data die het vastlegt is alleen waardeloos.
Denk aan een valse naam opgeven bij een koffiezaak. De barista maakt nog steeds je koffie. Het loyaliteitssysteem logt nog steeds een bezoek. Maar het datapunt dat ze opschreven wijst naar een persoon die niet bestaat. Schaal dat idee op en je krijgt data poisoning: bewust misleidende, ruisrijke of gecorrumpeerde informatie voeren aan de systemen die je profileren, totdat de kwaliteit onder het punt van bruikbaarheid zakt.
Dit is een oud idee in nieuwe kleren. Verzetsgroepen in bezet gebied dienden valse rapporten in en zaaiden bewust desinformatie om te degraderen wat hun bezetter wist. Als je de surveillance niet kunt stoppen, kun je vergiftigen wat het leert.
De tools bestaan al
Dit verraste me toen ik me erin verdiepte: dit is geen onderzoekscuriositeit. De tooling is er vandaag, en veel ervan draait in je browser.
AdNauseam klikt op elke advertentie die het ziet, stilletjes, op de achtergrond. Voor de ad networks lijk je opeens geinteresseerd in babykleding, bejaardentehuizen, skateboards en landbouwmachines, allemaal tegelijk. Je profiel wordt zo ruisrijk dat je targeten zinloos wordt. Het network int nog steeds zijn fee per klik, maar de adverteerder betaalt voor niets. Google haalde AdNauseam uit de Chrome Web Store, wat ik als een aardig signaal opvat dat het doet wat het belooft.
TrackMeNot doet dezelfde truc met je zoekgeschiedenis. Het vuurt willekeurige queries af op de achtergrond, zodat je echte zoekopdrachten begraven liggen onder een stapel neppe. Het principe achter beide tools is simpel: als je het signaal niet kunt verbergen, verdrink het dan in ruis.
AI-trainingsdata vergiftigen
Hier wordt het interessant voor mij, want het sluit aan op het moment waarin we zitten.
Large language models worden getraind op enorme datasets die van het open internet zijn gescraped. Je blogposts, je forumreacties, je Stack Overflow-antwoorden, de dingen die je over jezelf schreef - het voedt allemaal de pipeline. Niemand vroeg het je. Niemand betaalde je. En er is geen zinvolle manier om je bijdrage er achteraf weer uit te trekken.
Nightshade, gebouwd aan de University of Chicago, voegt verstoringen toe aan afbeeldingen die je oog niet kan zien. De foto ziet er voor jou identiek uit. Voor een training pipeline leest het als iets heel anders: een hond parset als een kat, een auto als een koe. Krijg genoeg vergiftigde afbeeldingen in de dataset en het vermogen van het model om bepaalde content te genereren degradeert.
Glaze, van dezelfde groep, richt zich specifiek op kunstenaars. Het wikkelt een stijl-cloak om kunstwerken heen zodat modellen de stijl van een kunstenaar niet kunnen leren en repliceren, terwijl de kunst er voor mensen ongewijzigd uitziet.
Tekst wordt nog interessanter. Als je weet dat je schrijfsels gescraped worden voor training, kun je er adversarial patronen in embedden. Subtiel tegenstrijdige claims, zorgvuldig gebouwde edge cases, uitspraken die in context misleiden - het kan allemaal de modelkwaliteit in een specifiek domein omlaag trekken. Sommige sites zijn begonnen onzichtbare tekst te planten die recht op scrapers gericht is, een robots.txt met echte tanden. Onderzoekers hebben aangetoond dat het vergiftigen van slechts 0,1% van een trainingsset de prestaties op gerichte taken meetbaar kan schaden. Vergiftigen is goedkoop. Een vergiftigde dataset opschonen is duur. Voor één keer loopt de asymmetrie in jouw voordeel.
Ja, dit is sabotage. Lees de context.
Sommigen van jullie zijn nu al ongemakkelijk, en dat snap ik. Dit lijkt op vandalisme. Dus laat me eerlijk zijn over de context in plaats van eromheen te draaien.
Deze bedrijven namen je data zonder te vragen. Ze bouwden producten ter waarde van miljarden op jouw creatieve output, jouw technische antwoorden, jouw persoonlijke schrijfsels, en gaven niets terug behalve “je ging akkoord met onze voorwaarden.” Wanneer een systeem geen eerlijke manier biedt om te vertrekken, wordt obfuscatie een vorm van zelfverdediging.
Dit is het sovereignty-principe toegepast op data. Zoals ik betoogde in Sovereign Infrastructure is afhankelijkheid van systemen die je niet beheert en niet kunt inspecteren een kwetsbaarheid. Ik self-host om die reden, niet omdat het de makkelijke weg is. Dezelfde logica geldt hier. Als ik niet kan controleren of mijn data verzameld wordt, kan ik op z’n minst controleren wat het waard is zodra het zonder echte toestemming van me is afgenomen.
Hoe dit er in de praktijk uitziet
Je kunt vandaag beginnen. Niets hiervan vereist een lab.
Browser-ruis:
- Installeer AdNauseam om je advertentieprofiel te vergiftigen
- Draai aparte browsers met verschillende persona’s voor verschillende activiteiten
- Wis af en toe alle cookies om tracking-continuiteit te doorbreken
Zoekvervuiling:
- Gebruik TrackMeNot om queries op de achtergrond te genereren
- Spreid je zoekopdrachten over meerdere engines zodat geen enkel bedrijf het volledige plaatje heeft
AI-trainingsweerstand:
- Haal visuele kunst door Glaze voordat je het post
- Denk na over welke signalen je gescrapete content naar een model stuurt
- Gebruik je
robots.txt, met in je achterhoofd dat het een verzoek is en geen afdwinging
Infrastructuur-niveau:
- Houd een Pi-hole of AdGuard Home als baseline voor DNS-level blocking
- Deel per-dienst e-mailaliassen uit (een catch-all domein maakt dit triviaal)
- Kijk naar tools zoals Chaff die nep browseverkeer genereren
De obstakels zijn echt
Ik zou je iets verkopen als ik de nadelen oversloeg, dus hier zijn ze.
Resourcekosten. AdNauseam verbruikt bandbreedte met klikken op ads. TrackMeNot genereert verkeer. Je spendeert je eigen resources om ruis te fabriceren.
Bijkomende schade. Kleine publishers die van advertentie-inkomsten leven vangen phantom clicks. Die clicks kosten adverteerders geld, wat uiteindelijk de hele advertentiemarkt verkrapt. Je raakt misschien mensen die je nooit bedoeld had te raken.
Wapenwedloop. Verzamelaars passen zich aan. Google blokkeerde AdNauseam al uit de Chrome Web Store. Verwacht in de loop van de tijd slimmere fingerprinting en betere poisoning-detectie.
Juridische grijze gebieden. Afhankelijk van waar je woont kunnen sommige van deze technieken schuren met servicevoorwaarden of computerfraude-wetgeving. Ken je jurisdictie voordat je iets doet.
Ethische ambiguiteit. Het vergiftigen van LLM-trainingsdata raakt iedereen die die modellen gebruikt, niet alleen het bedrijf dat jou scrapete. Dat is een echt collectief actieprobleem, en ik heb er geen schoon antwoord op.
Deze kosten zijn echt. Of ze het waard zijn om te betalen hangt af van hoe je privacy afweegt tegen gemak, je rechten tegen collectieve impact, en in de aanval gaan tegen op verdediging blijven.
Het gat dichten
Data poisoning is geen toverstokje, en ik zou niemand vertrouwen die het zo verkoopt. Het hoort thuis in een bredere strategie die nog steeds blokkeren, self-hosting, encryptie en het via echte politiek pushen voor sterkere privacywetgeving omvat.
Wat het toevoegt is het enige dat pure verdediging je niet kan geven: het draait de asymmetrie van inspanning om. Data degraderen is goedkoop voor jou en het opschonen is duur voor hen. Die verschuiving maakt massasurveillance minder winstgevend en zaait twijfel in systemen die alleen werken als de data schoon is. Je hoeft je hele leven niet te migreren om het te voelen. Kies één tool, draai het een maand, en kijk wat er verandert.
Het punt waar ik steeds op uitkom is dat verstoppen niet de enige beschikbare reactie op surveillance is. Je kunt de surveillance ook onbetrouwbaar maken, zonder iets te breken, simpelweg door het data te voeren die te ruisrijk is om te gebruiken. Als je niet kunt opt-outen, zorg dat ze wensen dat je het wel had gedaan.
