你以为 Sears 只剩下老照片和怀旧电视广告?其实它的家电维修部门还在运营,并且使用了名叫 Samantha 的 AI 聊天和电话助手。可惜,这个“现代化”并没有做好隐私防护。

发生了什么

安全研究员 Jeremiah Fowler 在检查网络时发现了三个公开可访问的数据库,里面存着大量 Sears Home Services 的对话数据。主要发现包括:

  • 大约 3.7百万 条聊天记录。
  • 1.4百万 个音频文件和对应的纯文本转录,时间范围是从 2024 年到今年
  • 其中一个 CSV 文件包含 54,359 条完整聊天记录样本。
  • 聊天记录中,AI 自报家门为“Samantha,Sears Home Services 的 AI 虚拟语音代理”,还提到了公司使用的 AI 技术名称 kAIros
  • 内容包括英语和西班牙语,包含客户姓名、电话号码、家庭住址、所拥有的家电型号,以及送货和维修预约等敏感信息。

为什么这很糟糕

Fowler 隶属于 Black Hills Information Security。他的观点很直接:这些不是测试数据,而是真实人的信息。问题严重在于两点:

  • 钓鱼和诈骗风险。这些记录暴露了客户的联系方式和家庭情况,例如家里有什么家电,维修何时安排。诈骗者可以拿这些细节来编故事骗人。
  • 超时录音带来的隐私泄露。有些通话在用户结束后仍继续录音,最长甚至达到了 四个小时。录音里捕捉到电视声音、家庭对话和其他私密信息,显然用户并不知情。

AI 自说自话,又出故障

除了隐私问题,聊天记录还显示出 AI 的尴尬时刻。例子包括:

  • 在一个时长 76 分钟的通话里,用户两分钟后就要求人工客服。AI 先是坚持自己能解决,几分钟后又承认遇到错误并尝试转接人工。
  • 一个文本转录从上午 11 点开始到下午 1:30 结束,用户反复问“技术人员在哪儿?”达 28 次,并在挫败后多次重复“你是个电脑”。

谁负责,发生了什么补救

Fowler 在二月初发现问题后,把情况告知了 Sears 的母公司 Transformco。根据他的说法,数据库随即被上锁和保护。公开暴露了多长时间、有没有其他人访问,目前仍不清楚。Transformco 没有对多次询问作出回应。

Fowler 还说,他在披露问题后收到一封回复,声称会把他转给一位 Samantha AI 聊天经理,但那位经理随后并未回复他的后续消息。

更大的教训

这次事件提醒企业在部署 AI 时不要省略基本安全措施。Fowler 强调,至少这些文件应该设置密码保护并加密。更重要的,还有用户权利问题。

  • 公司应该让用户有更多选择,例如是否要与人工客服沟通,以及是否同意录音。
  • 长期录音和未授权的数据保存会损害客户对品牌的信任,并带来声誉风险。

专家观点

牛津大学的作家与副教授 Carissa Véliz 提出,人们有时跟机器交流会感觉更安全,因为机器不会像人那样做出伤害行为。但她也指出,很多情况下用户并没有真正选择权。她建议公司应给用户更多控制权,保证客户安全并感到被尊重,而不是被利用。

总结一下:Sears 的 AI 项目暴露了真实用户数据和长时间录音,已经被研究人员发现并在披露后得到修补。这件事既是隐私教训,也是提醒所有公司:把安全和用户选择放在技术创新前面。