AIPress.com.cn報道

1月30日消息，據《連線》報道，Grok的一款AI玩具近日被曝存在嚴重數據安全漏洞，約5萬條兒童與AI互動的對話記錄因云存儲配置失誤而處于公開可訪問狀態，任何擁有Gmail賬號的用戶均可查看和下載相關內容。

報道指出，問題源于該公司在使用Google Cloud Storage時，將存儲兒童對話日志的存儲桶錯誤設置為“公開訪問”。這些數據原本用于產品的“質量改進與個性化”，但由于配置不當，長期暴露在互聯網上，未設置有效訪問權限控制。

泄露的對話內容涵蓋兒童日常學習與生活的多個層面，包括作業輔導、拼寫練習，也涉及家庭關系、個人恐懼、生活習慣等較為敏感的信息。安全研究人員在核查數據時發現，部分兒童在對話中提及父母關系問題、家庭住址以及日常行程安排。

Grok玩具采用云端處理模式，語音數據被上傳至遠程服務器，經自然語言模型處理后存儲。這一設計在提升交互能力的同時，也增加了數據在傳輸、存儲和管理環節的安全風險。但是云平臺默認并不會開放公開訪問權限，因此可能是內部部審核和上線前測試方面出現的問題。

據悉，在美國，《兒童在線隱私保護法》（COPPA）要求面向13歲以下兒童的產品在收集個人信息前獲得家長同意；在歐洲，《通用數據保護條例》（GDPR）對兒童數據的處理提出更高合規要求。法律界人士認為，Grok事件可能同時觸及多項監管框架，相關對話內容或被認定為敏感個人數據。

報道指出，近年來，具備聯網與AI能力的兒童產品多次曝出安全漏洞，Grok并非個案。不同于需要復雜攻擊手段的黑客入侵，此次事件因訪問門檻極低而被認為風險更高，潛在影響范圍也更廣。

事后，Grok表示已在發現問題后立即關閉公開訪問權限并修復配置錯誤，但尚未披露數據暴露的持續時間、是否存在未授權訪問記錄，以及對受影響家庭的具體通知和補救措施。（AI普瑞斯編譯）