Sears 聊天机器人通话与文本对话数据遭全网公开,用户隐私面临风险
Sears AI 聊天机器人数据泄露事件深度解析
近期,一项安全研究发现,美国老牌零售商 Sears 旗下的 Sears Home Services(号称美国“最大的家电维修服务提供商”)所使用的 AI 聊天机器人和电话助手 Samantha 的对话数据被公开暴露在互联网上。安全研究员 Jeremiah Fowler 在今年 2 月初发现了三个未受保护的数据库,其中包含了海量的客户聊天记录、音频文件及文字转录。
泄露数据规模与内容
据 Fowler 披露,这些数据库包含了 370 万条聊天日志,以及 140 万份音频文件和纯文字转录,数据时间跨度从 2024 年至今。其中一个 CSV 文件就包含了 54,359 条完整的聊天记录。
这些数据不仅记录了客户与名为 Samantha 的 AI 虚拟语音代理(其背后技术名为 kAIros)的交互过程,还包含了大量敏感的个人信息,例如:
- 客户姓名
- 电话号码
- 家庭住址
- 拥有的家电信息
- 配送预约和维修详情
对话语言涵盖英语和西班牙语。Fowler 强调:“关键是要记住,这些都是真实用户的真实数据。”
安全漏洞与潜在风险
此次暴露的核心问题在于,这些数据库未设置密码保护或加密,处于公开可访问状态。Fowler 指出,虽然企业部署 AI 可能节省成本,但绝不能“在保护数据、确保数据安全方面走任何捷径”。这些个人信息一旦被不法分子获取,将极大方便他们发起钓鱼攻击和实施欺诈。
事件处理与遗留疑问
Fowler 在发现漏洞后,立即通过电子邮件联系了 Sears 及其 Home Services 部门的母公司 Transformco。据称,相关数据库随后被迅速保护起来。然而,仍存在几个关键的不确定性:
- 这些数据在网上暴露了多长时间?
- 在暴露期间,除了 Fowler 之外,是否有其他人访问过这些数据?
截至报道时,Transformco 未就 WIRED 的多项置评请求作出回应。
AI 应用热潮下的数据安全隐忧
Sears 事件并非孤例,它再次为蓬勃发展的 AI 应用敲响了警钟。随着越来越多的企业引入 AI 客服、语音助手等工具来处理包含敏感信息的客户交互,数据存储和访问控制的安全性变得至关重要。
核心矛盾在于效率与安全的平衡:企业追求自动化、低成本服务的同时,必须将用户隐私和数据保护置于同等甚至更高的优先级。简单的配置错误或安全疏忽,就可能导致大规模隐私泄露,损害品牌信誉,并给用户带来实质性的财务与安全风险。
对于消费者而言,此事件提醒我们,在与任何 AI 系统分享个人信息时需保持警惕。对于行业而言,则是一次严厉的警示:AI 的部署必须伴随同等甚至更严格的数据治理和安全框架,绝不能因为追求“智能化”而牺牲最基本的安全防线。