曝“AI女友”泄露40万用户私密对话
编译 | 陈骏达
编辑 | Panken
这两款“AI女友”应用,正让数十万用户的私密对话“裸奔”!
智东西10月11日消息,近日,网络安全媒体Cybernews在互联网上发现了一个用于AI陪伴应用的流媒体与内容传输系统,该系统未受保护,完全暴露。这一漏洞直接导致40万名用户的数据、4300多万条私密消息以及超过60万张图片与视频(包含用户上传及AI生成内容)被泄露。
出现安全漏洞的这两款AI陪伴应用在安卓与iOS平台上均可使用,名为“Chattee Chat – AI Companion”与“GiMe Chat – AI Companion”,均提供应用内购买服务,有用户甚至在其中充值了1.8万美元(约合人民币12.8万元)。
截至事件曝光时,其中一款应用Chattee仍在苹果App Store的“娱乐”分类中排名第121位,第三方估计其在平台上的下载量已超过30万次,并获得数百条正面评价,用户主要来自美国。另一款应用GiMe Chat的知名度相对较低。
Chattee的App Store页面(图源:Cybernews)
Cybernews研究团队称:“其中几乎没有任何内容可被视为‘适合在工作场合浏览’,这次令人担忧的泄露事件凸显出一个巨大的鸿沟——用户在这些AI陪伴应用中倾诉最隐私的情感与欲望,却因开发者的安全疏忽而暴露无遗。”
一、40万用户数据外泄,私密内容被公开访问
公开暴露的流媒体与内容传输系统实际上是一个Kafka Broker实例。该实例负责接收来自生产者的消息、存储这些消息,并将其提供给消费者。
使用这一未受保护的Kafka Broker实例的两款应用,由总部位于香港的Imagime Interactive Limited开发。该公司在其隐私政策中表示:“我们深知个人信息对您的重要性,因此高度重视个人隐私保护。”
然而,Cybernews研究人员发现,该泄露的实例未设置任何访问控制或身份验证机制——任何持有链接的人都能直接访问系统内容,包括用户发送和接收的全部数据。
泄露的超40万用户注册数据表明,66.3%的受影响用户为iOS用户,其余约1/3来自安卓平台。在调查期间,Chattee应用已从Google Play商店下架,开发者随后引导用户通过APK文件自行安装。
尽管泄露信息中未包含用户姓名或邮箱等直接身份信息,但IP地址与设备唯一识别码(UUID)均被公开,攻击者可借助以往数据泄露记录将其与具体个人匹配。
泄露的部分信息,敏感信息已被隐去(图源:Cypernews)
研究显示,用户在应用中频繁互动,平均每位用户向AI伴侣发送107条消息,并上传多张图像与视频。这些资料可能被恶意人士用于识别、勒索或骚扰用户。
此外,媒体文件同样未设访问权限,外部任何人都能浏览或下载用户上传、购买或AI生成的内容。
二、百万美元收入背后,AI陪伴经济的安全隐忧
泄露的应用内购买记录显示,部分用户在虚拟货币充值上的花费高达18000美元。尽管此类极端案例较少,但交易记录显示,开发商的总体收入可能已超过100万美元。
更令人担忧的是,研究人员发现认证令牌(authentication tokens)同样被泄露,这意味着黑客可借此劫持账户并盗取虚拟货币。尽管此类货币的实际价值有限,但其潜在滥用风险依然存在。
Cybernews在发现问题后已负责任地通知开发商,目前该Kafka Broker实例已被关闭。
然而,研究团队警告称,不确定是否有黑客已获取相关数据。该服务器早已被多个物联网搜索引擎索引,而黑客通常会主动扫描常用端口寻找可入侵的服务。
研究人员强调,将“AI女友”应用的数据与真实身份相连,可能导致严重的声誉损害,并对用户的心理健康、生活及人身安全造成长期影响。泄露的数据极有可能被用于性勒索(sextortion)、定向网络钓鱼(spearphishing)等攻击。
这类Kafka实例暴露事件并非个例。Cybernews研究人员此前也发现过多个未受保护的实例,涉及巴西医疗巨头Unimed、土耳其某外卖平台、家长监控应用KidSecurity以及Shopify插件开发商等。
Cybernews的研究者认为,Kafka Broker系统应启用身份验证、限制访问IP,并配置严格的访问控制,这是防止类似隐私灾难的基本安全措施。
同时,用户也需意识到,与AI陪伴对象的对话并非完全私密。这类应用的公司往往未妥善保护其系统,使用户的私密聊天和共享内容随时可能被恶意者利用牟利。
结语:安全问题已成AI陪伴应用关键挑战
AI陪伴应用正成为不少人情感表达和倾诉的出口。但正如Cybernews近日曝光的数据泄露事件所显示的那样,这类应用也可能让用户的私密对话、影像甚至身份信息暴露在互联网上。
事实上,这并非AI陪伴应用首次引发争议。此前,知名AI陪伴应用Character.AI就因一起悲剧性事件被诉至法院:一名14岁少年在与平台聊天机器人频繁互动后选择自杀,其母亲随后起诉Character.AI及其开发者,指控其存在设计缺陷、缺乏安全保护措施,并未对未成年人提供必要防护。
这些事件也为AI陪伴产业敲响了警钟,随着AI角色越来越“像人”,相关企业或许需要在法律、伦理和社会责任方面划清界限,主动建立安全、透明的使用规范。
(来源:新浪科技)
