至少从 2017 年起，一位神秘威胁源起方运营上千恶意 Tor 网络入口、中继和出口节点，此举被认为旨在对 Tor 网络用户进行去匿名化攻击。这位神秘攻击者被命名为 KAX17，Tor 网络通常有 9000 到 10000 个服务器，而 KAX17 在高峰期间运行了 900 多个恶意服务器。安全研究员、Tor 中继节点维护者 Nusenu 认为，在某个时刻，Tor 用户有 16% 的几率通过 KAX17 的入口节点进入 Tor 网络，有 35% 的几率通过其中继节点，有最高 5% 的几率通过其出口节点离开匿名网络。所有迹象显示 KAX17 的背后是一个国家级的资源丰富的威胁源起方。进入 Tor 网络的服务器通常需要提供联络信息，以便在必要时联络服务器的管理员，比如配置错误或遭到滥用。但由于缺乏足够的节点实现匿名化，一些没有联络信息的服务器也会经常添加到 Tor 网络。Nusenu 是在 2019 年注意到没有提供联络信息的 KAX17，发现其活动至少能被跟踪到 2017 年。Nusenu 和 Tor 项目都不愿猜测幕后者的身份。