智東西(公眾號:zhidxcom)
編譯 | 陳駿達
編輯 | Panken

這兩款“AI女友”應用,正讓數十萬用戶的私密對話“裸奔”!

智東西10月11日消息,近日,網絡安全媒體Cybernews在互聯網上發現了一個用于AI陪伴應用的流媒體與內容傳輸系統,該系統未受保護,完全暴露。這一漏洞直接導致40萬名用戶的數據、4300多萬條私密消息以及超過60萬張圖片與視頻(包含用戶上傳及AI生成內容)被泄露。

出現安全漏洞的這兩款AI陪伴應用在安卓與iOS平臺上均可使用,名為“Chattee Chat – AI Companion”與“GiMe Chat – AI Companion”,均提供應用內購買服務,有用戶甚至在其中充值了1.8萬美元(約合人民幣12.8萬元)。

截至事件曝光時,其中一款應用Chattee仍在蘋果App Store的“娛樂”分類中排名第121位,第三方估計其在平臺上的下載量已超過30萬次,并獲得數百條正面評價,用戶主要來自美國。另一款應用GiMe Chat的知名度相對較低。

曝“AI女友”泄露40萬用戶私密對話

▲Chattee的App Store頁面(圖源:Cybernews)

Cybernews研究團隊稱:“其中幾乎沒有任何內容可被視為‘適合在工作場合瀏覽’,這次令人擔憂的泄露事件凸顯出一個巨大的鴻溝——用戶在這些AI陪伴應用中傾訴最隱私的情感與欲望,卻因開發者的安全疏忽而暴露無遺。

一、40萬用戶數據外泄,私密內容被公開訪問

公開暴露的流媒體與內容傳輸系統實際上是一個Kafka Broker實例。該實例負責接收來自生產者的消息、存儲這些消息,并將其提供給消費者。

使用這一未受保護的Kafka Broker實例的兩款應用,由總部位于香港的Imagime Interactive Limited開發。該公司在其隱私政策中表示:“我們深知個人信息對您的重要性,因此高度重視個人隱私保護。”

然而,Cybernews研究人員發現,該泄露的實例未設置任何訪問控制或身份驗證機制——任何持有鏈接的人都能直接訪問系統內容,包括用戶發送和接收的全部數據。

泄露的超40萬用戶注冊數據表明,66.3%的受影響用戶為iOS用戶,其余約1/3來自安卓平臺。在調查期間,Chattee應用已從Google Play商店下架,開發者隨后引導用戶通過APK文件自行安裝。

盡管泄露信息中未包含用戶姓名或郵箱等直接身份信息,但IP地址與設備唯一識別碼(UUID)均被公開,攻擊者可借助以往數據泄露記錄將其與具體個人匹配。

曝“AI女友”泄露40萬用戶私密對話

▲泄露的部分信息,敏感信息已被隱去(圖源:Cypernews)

研究顯示,用戶在應用中頻繁互動,平均每位用戶向AI伴侶發送107條消息,并上傳多張圖像與視頻。這些資料可能被惡意人士用于識別、勒索或騷擾用戶。

此外,媒體文件同樣未設訪問權限,外部任何人都能瀏覽或下載用戶上傳、購買或AI生成的內容。

二、百萬美元收入背后,AI陪伴經濟的安全隱憂

泄露的應用內購買記錄顯示,部分用戶在虛擬貨幣充值上的花費高達18000美元。盡管此類極端案例較少,但交易記錄顯示,開發商的總體收入可能已超過100萬美元

更令人擔憂的是,研究人員發現認證令牌(authentication tokens)同樣被泄露,這意味著黑客可借此劫持賬戶并盜取虛擬貨幣。盡管此類貨幣的實際價值有限,但其潛在濫用風險依然存在。

Cybernews在發現問題后已負責任地通知開發商,目前該Kafka Broker實例已被關閉。

然而,研究團隊警告稱,不確定是否有黑客已獲取相關數據。該服務器早已被多個物聯網搜索引擎索引,而黑客通常會主動掃描常用端口尋找可入侵的服務。

研究人員強調,將“AI女友”應用的數據與真實身份相連,可能導致嚴重的聲譽損害,并對用戶的心理健康、生活及人身安全造成長期影響。泄露的數據極有可能被用于性勒索(sextortion)、定向網絡釣魚(spearphishing)等攻擊。

這類Kafka實例暴露事件并非個例。Cybernews研究人員此前也發現過多個未受保護的實例,涉及巴西醫療巨頭Unimed、土耳其某外賣平臺、家長監控應用KidSecurity以及Shopify插件開發商等。

Cybernews的研究者認為,Kafka Broker系統應啟用身份驗證、限制訪問IP,并配置嚴格的訪問控制,這是防止類似隱私災難的基本安全措施。

同時,用戶也需意識到,與AI陪伴對象的對話并非完全私密。這類應用的公司往往未妥善保護其系統,使用戶的私密聊天和共享內容隨時可能被惡意者利用牟利。

結語:安全問題已成AI陪伴應用關鍵挑戰

AI陪伴應用正成為不少人情感表達和傾訴的出口。但正如Cybernews近日曝光的數據泄露事件所顯示的那樣,這類應用也可能讓用戶的私密對話、影像甚至身份信息暴露在互聯網上。

事實上,這并非AI陪伴應用首次引發爭議。此前,知名AI陪伴應用Character.AI就因一起悲劇性事件被訴至法院:一名14歲少年在與平臺聊天機器人頻繁互動后選擇自殺,其母親隨后起訴Character.AI及其開發者,指控其存在設計缺陷、缺乏安全保護措施,并未對未成年人提供必要防護。

這些事件也為AI陪伴產業敲響了警鐘,隨著AI角色越來越“像人”,相關企業或許需要在法律、倫理和社會責任方面劃清界限,主動建立安全、透明的使用規范。