Airbnb 重新设计了身份识别与连接模型,旨在支持“体验”板块中新增的社交功能,同时在整个平台上建立起更为严格的隐私边界。该公司描述了一套将内部用户身份与外部可见个人资料相分离的系统,使用户能够参与集体活动的互动,而又不会暴露其全局身份信息。这些调整符合 Airbnb 在“体验”板块中拓展社交互动的整体战略——其中的参与者可能互不相识,对受控的身份披露和更强有力的隐私保障需求日益增加。
据 Airbnb 介绍,新模式将统一的全球个人资料库替换为多个与具体体验相关的、针对特定场景的个人资料库。每个人的资料代表一个范围有限的身份,仅在特定场景(如特定活动或团体活动)内可见。这种做法有助于防止用户在不同体验之间的身份相互关联,从而有效地构建起相互隔离的社交图谱,而非统一的全球社交网络。个人资料数据的访问权限由共同参与机制决定,确保用户只能查看与其当前互动相关的信息。
/filters:no_upscale()/news/2026/05/airbnb-privacy-identity-model/en/resources/1airbnbprivacy-1777162924784.jpeg)
基于上下文的配置文件会在不同的体验中隔离用户身份,从而防止跨上下文的身份关联 (图片来源:Airbnb 博客)
该系统通过 Airbnb 内部的授权框架 Himeji 来实现,后者在运行时应用基于关系的访问控制策略。这些策略会在授予个人资料信息访问权限之前,评估用户之间是否存在共同上下文。通过将执行机制转移到数据访问层,该平台确保了跨服务隐私保障的一致性,而非仅依赖接口层面的限制。这种设计体现了一种更广泛的架构模式,即身份信息披露由上下文和关系来决定,而非由静态的用户属性来决定。
为了实施新模型,确保在适当的上下文中使用正确的标识符,Airbnb 对其整个代码库进行了大规模迁移。工程团队开发了自动审计工具,用于扫描用户数据的访问模式,并生成一份需要更新的候选位置列表。根据代码库结构,这些发现会被分配给负责的团队,从而实现组织范围内的协同执行。随后,工程师们进行人工审查,确定每处使用场景是仅供内部使用还是对外公开,从而确保变更不会影响预期功能。
Airbnb 还引入了 AI 辅助的重构工具来加速迁移进程。这些工具会根据审计结果提出代码修改建议,而工程师则会在部署前对每个更新进行审查和验证。这种“人机协作”流程使团队能够在保证准确性并且不影响业务逻辑的同时,实现迁移规模的扩展。在 LinkedIn 的一篇博文中,Joy Jing 指出,该系统的设计旨在支持社交互动,同时不损害用户隐私。
在迁移过程中,工程、产品、隐私和法务团队通力合作,并就身份语义和上线优先级达成了一致。这种协调有助于确保新模型在各项服务中得到一致的应用,并保证新引入的社交功能严格遵守隐私限制。
原文链接:https://www.infoq.com/news/2026/05/airbnb-privacy-identity-model/
