AIPress.com.cn報(bào)道
1月30日消息,據(jù)《連線》報(bào)道,Grok的一款A(yù)I玩具近日被曝存在嚴(yán)重?cái)?shù)據(jù)安全漏洞,約5萬條兒童與AI互動(dòng)的對(duì)話記錄因云存儲(chǔ)配置失誤而處于公開可訪問狀態(tài),任何擁有Gmail賬號(hào)的用戶均可查看和下載相關(guān)內(nèi)容。
報(bào)道指出,問題源于該公司在使用Google Cloud Storage時(shí),將存儲(chǔ)兒童對(duì)話日志的存儲(chǔ)桶錯(cuò)誤設(shè)置為“公開訪問”。這些數(shù)據(jù)原本用于產(chǎn)品的“質(zhì)量改進(jìn)與個(gè)性化”,但由于配置不當(dāng),長期暴露在互聯(lián)網(wǎng)上,未設(shè)置有效訪問權(quán)限控制。
泄露的對(duì)話內(nèi)容涵蓋兒童日常學(xué)習(xí)與生活的多個(gè)層面,包括作業(yè)輔導(dǎo)、拼寫練習(xí),也涉及家庭關(guān)系、個(gè)人恐懼、生活習(xí)慣等較為敏感的信息。安全研究人員在核查數(shù)據(jù)時(shí)發(fā)現(xiàn),部分兒童在對(duì)話中提及父母關(guān)系問題、家庭住址以及日常行程安排。
Grok玩具采用云端處理模式,語音數(shù)據(jù)被上傳至遠(yuǎn)程服務(wù)器,經(jīng)自然語言模型處理后存儲(chǔ)。這一設(shè)計(jì)在提升交互能力的同時(shí),也增加了數(shù)據(jù)在傳輸、存儲(chǔ)和管理環(huán)節(jié)的安全風(fēng)險(xiǎn)。但是云平臺(tái)默認(rèn)并不會(huì)開放公開訪問權(quán)限,因此可能是內(nèi)部部審核和上線前測(cè)試方面出現(xiàn)的問題。
據(jù)悉,在美國,《兒童在線隱私保護(hù)法》(COPPA)要求面向13歲以下兒童的產(chǎn)品在收集個(gè)人信息前獲得家長同意;在歐洲,《通用數(shù)據(jù)保護(hù)條例》(GDPR)對(duì)兒童數(shù)據(jù)的處理提出更高合規(guī)要求。法律界人士認(rèn)為,Grok事件可能同時(shí)觸及多項(xiàng)監(jiān)管框架,相關(guān)對(duì)話內(nèi)容或被認(rèn)定為敏感個(gè)人數(shù)據(jù)。
報(bào)道指出,近年來,具備聯(lián)網(wǎng)與AI能力的兒童產(chǎn)品多次曝出安全漏洞,Grok并非個(gè)案。不同于需要復(fù)雜攻擊手段的黑客入侵,此次事件因訪問門檻極低而被認(rèn)為風(fēng)險(xiǎn)更高,潛在影響范圍也更廣。
事后,Grok表示已在發(fā)現(xiàn)問題后立即關(guān)閉公開訪問權(quán)限并修復(fù)配置錯(cuò)誤,但尚未披露數(shù)據(jù)暴露的持續(xù)時(shí)間、是否存在未授權(quán)訪問記錄,以及對(duì)受影響家庭的具體通知和補(bǔ)救措施。(AI普瑞斯編譯)
