記者吳立言/綜合報導
近期有網友在社群平台爆料,中國大語言模型「Kimi」在 2.6 版本更新前夕出現嚴重資安漏洞。用戶在要求 AI 分析技術圖表時,系統竟意外吐出另一名陌生用戶的真實求職簡歷,包含姓名、手機門號及電子信箱等極度敏感資訊皆一覽無遺。據悉,受害者已遭到騷擾,而官方目前的處理態度更引發網友強烈不滿。
▼AI對話內驚見他人真實履歷 。(圖/小紅書用戶INDUO@1020344310)
﹨
系統邏輯錯亂 AI 誤將個人履歷當成「技術圖表」
根據爆料用戶「INDUO」提供的第一手證據顯示,這起資安事故發生在一次圖文分析過程中。用戶原本上傳一張關於市場趨勢的英文圖表,Kimi 先是出現生成中斷的異常,隨後在回覆中竟將另一名陌生用戶的「中文履歷」完整呈現。
令人驚訝的是,系統在邏輯層面出現嚴重混亂,竟將這份履歷內容解讀為「關於振動控制與減振技術的頻率響應特性圖」。這證實了 AI 模型在處理多用戶數據時,後端存取隔離機制可能已經失效。
個資「裸奔」 手機號碼與通訊軟體皆可查證
在爆料者釋出的對話截圖中,可以清楚看在履歷中標註為「核心信息速覽」的部分,包含了當事人的真實姓名、手機門號以及其 QQ 信箱,且完全沒有經過任何去標識化處理。
爆料網友指出,經實際撥號驗證,該手機號碼確實為本人所有,甚至能直接查找到對方的通訊軟體帳號。受害者事後證實,該份文件是先前為了請 AI 協助修改而上傳,沒想到聊天記錄竟會「串連」到陌生人的對話框中。
官方處理惹議 聯繫受害者後僅要求爆料者「下架文章」
事件發酵後,根據爆料者的最新更新(4 月 21 日),Kimi 官方(月之暗面)的產品經理已聯繫上當事人。然而,官方的第一反應並非對外解釋資安漏洞,而是試圖聯繫爆料網友,希望其能「刪除該篇貼文」以降低負面影響。
爆料者對此強烈回絕,認為官方未能給出合理的技術解釋,且受害者目前已面臨被陌生人騷擾的困擾。專家提醒,此案例凸顯出 AI 工具在處理私密文檔時仍存在物理性風險,呼籲使用者在「餵食」數據前,務必將姓名、身分證字號及地址等敏感關鍵字刪除。
