安全研究员杰里迈亚·福勒上个月发现了三个公开暴露的数据库,内含大量西尔斯家居服务客户的聊天记录、音频文件及音频转录文本,涉及个人详细信息,这一发现令他既惊讶又担忧。西尔斯家居服务部门自称是美国最大的家电维修服务提供商,每年完成超过七百万次维修。
福勒发现的这些数据库现已被加固,包含370万条聊天记录,140万条音频文件及文本转录,时间跨度从2024年到今年。其中一个CSV文件就包含了54,359条完整聊天记录。聊天内容显示,聊天机器人自我介绍为“萨曼莎,西尔斯家居服务的AI虚拟语音代理”,并提及公司AI技术名称“kAIros”。数据中包含英语和西班牙语的对话,涉及客户姓名、电话号码、家庭地址、所拥有的家电以及送货预约和维修信息等个人隐私。
黑山信息安全的福勒强调:“这些是真实人的真实数据。”他指出,虽然企业使用AI可以节省成本,但保护和加密数据绝不能走捷径。至少这些文件应该设置密码保护和加密。
福勒在二月初发现数据库公开后,立即联系了西尔斯母公司Transformco的工作人员,数据库很快被加固。数据库暴露的具体时长及是否被他人访问尚不清楚。Transformco未回应WIRED关于数据公开的多次采访请求。
福勒透露,他向Transformco报告后,曾收到一名自称将他直接连接到萨曼莎AI聊天机器人经理的回复,但此人随后未再回应他的后续消息。
任何客户数据泄露都令人担忧,福勒对西尔斯数据特别担心有两点:一是这些信息极易被用于钓鱼攻击,因其包含客户联系方式及家庭生活细节,包括家电信息,可能被用于保修诈骗等针对性攻击;二是部分录音在客户以为通话结束后仍持续录制,最长达四小时,可能录下客户私密对话和敏感信息。福勒表示:“你能听到电视声、人们交谈声,这些都被录了下来。”
文件还显示,用户对故障频发的聊天机器人感到沮丧,机器人有时无法回答问题,反而引导用户转接人工客服。
在一段76分钟的录音中,通话仅两分钟后,用户就请求与人工客服通话,AI机器人回应称自己能高效解决问题,转人工可能需要等待。几分钟后,机器人因故障请求转接人工。
一段从上午11点开始至下午1点30分结束的文本记录中,用户对“萨曼莎”AI虚拟语音的回复越来越不满,连续28次重复“我的技术员在哪里?”,最终愤怒地称“你是电脑,你是电脑,你是电脑。”
随着企业加速将生成式AI整合进技术体系,这些数据泄露事件凸显了使用机器人直接与客户互动所带来的隐私、信任和声誉风险。牛津大学副教授兼作家卡丽莎·维利兹指出,有时人们与机器交流会感到更安全,“毕竟机器不会抢劫你的房子。”但她也强调,人们往往无奈地必须信任企业处理敏感信息。
维利兹建议企业应给予用户更多选择:如果愿意,可以选择与真人交流;也可以选择不被录音。“从长远来看,企业应让客户感到安全和舒适,而非被疏远和利用。”
