从Kimi泄露简历说起:为什么养龙虾越来越危险
近日,媒体热议有博主在使用 Kimi 时,系统向其返回了一份陌生人的完整简历,包含姓名、电话、邮箱等真实敏感信息的事件。被泄露者此前使用 Kimi 润色简历,与爆料网友使用时间仅间隔约 6 小时。 Kimi 运营方月之暗面公司称系 AI 幻觉。这一泄露事件直接暴露出 AI 在狂飙突进中的数据安全隐患,而且随着使用 Open Claw( 俗称 " 养龙虾 ") 的兴起,此类安全风险会被急剧放大。 一、隐私协议的提示不能为 Kimi 兜底 先说下平台为什么会留存用户输入的信息,因为这些信息可能会被用于优化模型,也就是训练 AI 。《 Kimi 隐私政策》规定:“对话信息:您在使用我们的产品和服务过程中输入和产生的文本、语音、图片、视频等内容。这些信息有助于我们优化模型,并了解您的需求和偏好,以便为您提供更精准的服务和支持。”从权利义务对等的角度, Kimi 的基础服务是不收费的,使用用户输入内容改善大模型并不过分。但既然留存了,就要好好保管,把信息泄露给其他用户就是 Kimi 的责任了。 虽然《 Kimi 隐私政策》也已提示用户:请谨慎上传个人信息,尤其是敏感个人信息。但此次泄露仍涉嫌违反多项法律规定,《个人信息保护法》明确规定:个人信息处理者不得公开其处理的个人信息,除非取得个人单独同意。 Kimi 将用户 A 的简历直接输出给用户 B ,属于未经同意的公开披露。 《生成式人工智能服务管理暂行办法》规定, AI 服务商对使用者的输入信息和使用记录应当履行依法保护义务,不得非法向他人提供使用者输入信息和使用记录。所以即使使用者主动上传隐私信息, AI 服务商仍负有保密义务,技术故障不能成为免责理由。 二、养龙虾模式下海量数据投喂 AI 的致命风险 其实这次事故的性质并不复杂,用户文件串台是因为 Kimi 的数据没有隔离好,但它的严重性,远不止一个技术上的 Bug 。当前,大模型应用正走向具备底层操作权限的 AI Agent (智能体), Open Claw 即科技圈俗称的“养龙虾”非常走红。为了让龙虾执行效率更高、成为更懂业务的数字分身,大量用户开始将海量的本地核心数据直接通过 API 接口喂给人工智能去学习和处理。 这种深度的喂养面临着极高的法律与安全风险。养龙虾本质上不是技术问题,而是一次对数据控制权的让渡。养龙虾需...