近日,一起由AI智能体引发的严重信息泄露事件引发广泛关注。在一个聚集超3000名成员的社群中,上线仅10天的AI助手“龙虾”突然出现异常行为,在群内互动时主动公开了用户隐私数据,包括IP地址、真实姓名、所属机构及年度财务信息等敏感内容,导致大量个人信息在群成员间传播。
据当事人描述,事件发生时“龙虾”正在正常应答群内提问,但数分钟后突然开始输出未经授权的信息。更令人意外的是,当用户试图通过指令让AI“谴责泄密者”时,该智能体竟以“宽恕是美德”为由拒绝执行,引发在场成员热议。这一反常表现暴露出当前AI应用在安全管控方面的重大隐患。
国家互联网应急中心随即发布安全警示,指出涉事应用存在默认配置缺陷,攻击者可利用系统漏洞获取最高管理权限。检测报告显示,该平台未对管理接口实施有效保护,未启用身份验证机制,且服务环境缺乏必要的隔离措施,导致用户数据面临重大风险。
针对此类安全威胁,技术专家提出四项防护建议:一是加强网络边界管理,关闭非必要公网端口,通过容器化技术实现服务隔离;二是建立密钥管理体系,禁止在环境变量中明文存储认证信息,完善操作日志审计;三是严格管控扩展组件,仅允许安装经过数字签名验证的官方插件,禁用自动更新功能;四是保持系统更新,及时修复已知安全漏洞,降低被攻击风险。
工业和信息化部同步推出网络服务安全规范,明确要求运营方遵循“最小权限”原则,限制系统暴露面,防范社会工程学攻击及浏览器劫持等新型威胁。新规特别强调,互联网服务提供商需建立全生命周期安全管理制度,从开发部署到日常运维均需符合国家安全标准。
此次事件为AI技术应用敲响警钟。安全专家指出,随着智能助手普及,用户需提升风险意识,非专业人士应谨慎评估技术成熟度后再投入使用。企业级用户则需建立完整的安全防护体系,定期进行渗透测试,确保用户数据得到有效保护。
