AIPress.com.cn报道
1月30日消息,据《连线》报道,Grok的一款AI玩具近日被曝存在严重数据安全漏洞,约5万条儿童与AI互动的对话记录因云存储配置失误而处于公开可访问状态,任何拥有Gmail账号的用户均可查看和下载相关内容。
报道指出,问题源于该公司在使用Google Cloud Storage时,将存储儿童对话日志的存储桶错误设置为“公开访问”。这些数据原本用于产品的“质量改进与个性化”,但由于配置不当,长期暴露在互联网上,未设置有效访问权限控制。
泄露的对话内容涵盖儿童日常学习与生活的多个层面,包括作业辅导、拼写练习,也涉及家庭关系、个人恐惧、生活习惯等较为敏感的信息。安全研究人员在核查数据时发现,部分儿童在对话中提及父母关系问题、家庭住址以及日常行程安排。
Grok玩具采用云端处理模式,语音数据被上传至远程服务器,经自然语言模型处理后存储。这一设计在提升交互能力的同时,也增加了数据在传输、存储和管理环节的安全风险。但是云平台默认并不会开放公开访问权限,因此可能是内部部审核和上线前测试方面出现的问题。
据悉,在美国,《儿童在线隐私保护法》(COPPA)要求面向13岁以下儿童的产品在收集个人信息前获得家长同意;在欧洲,《通用数据保护条例》(GDPR)对儿童数据的处理提出更高合规要求。法律界人士认为,Grok事件可能同时触及多项监管框架,相关对话内容或被认定为敏感个人数据。
报道指出,近年来,具备联网与AI能力的儿童产品多次曝出安全漏洞,Grok并非个案。不同于需要复杂攻击手段的黑客入侵,此次事件因访问门槛极低而被认为风险更高,潜在影响范围也更广。
事后,Grok表示已在发现问题后立即关闭公开访问权限并修复配置错误,但尚未披露数据暴露的持续时间、是否存在未授权访问记录,以及对受影响家庭的具体通知和补救措施。(AI普瑞斯编译)
