中國大型語言模型 Kimi 在新版本上線前夕爆發嚴重資安事件。一名用戶上傳圖表要求分析,AI 卻意外回傳另一名陌生用戶的完整履歷,包含真實姓名與手機號碼等隱私資料。事件迅速引發熱議,不僅揭示 AI 後台會話隔離機制的重大漏洞,更凸顯用戶將私密文件交付 AI 處理時所潛藏的個資風險。
Table of Contents
Kimi AI 答非所問,他人履歷赫然出現在對話框
根據社群平台上爆料用戶 @yyyole 所提供的截圖,事件起因於一次正常的圖文分析請求。用戶上傳一張市場趨勢英文圖表,要求 Moonshot AI 旗下模型 Kimi 進行解讀。然而系統在生成過程中先出現異常中斷與胡言亂語,隨後甚至完整吐出一份陌生用戶的個人履歷,顯示後台資料存取的隔離機制已徹底失效。
個資意外裸奔,受害者慘遭陌生人騷擾
在爆料者釋出的對話截圖中,遭洩漏履歷上的「核心資訊」欄位,清楚呈現當事人的真實姓名、手機門號與 QQ 信箱,且完全未經任何遮擋或加密。爆料者實際撥號驗證,確認號碼屬實,更能直接透過號碼查找到對方的通訊軟體帳號。
受害者事後表示,該份文件確實曾上傳給 Kimi 以求協助修改,但完全沒料到私人聊天記錄竟會「跨會話」出現在陌生人的對話中。事件曝光後,受害者頻受陌生人聯繫騷擾,對其日常生活造成困擾。
網曝技術問題:Session 串號與隱私設定缺失
多名社群用戶事後指出,這起事件的核心癥結在於「session 串號」,也就是後台會話管理機制失效,導致不同用戶的對話資料發生交叉混淆。用戶 @disksing 表示,自己過去也曾在某 AI 平台遭遇類似情況,AI 突然回覆其他用戶的私人內容,讓他嚇得直接棄用該模型。
此外,用戶 @alberr_alberte 也指出,Kimi 目前並未提供類似 DeepSeek 的「是否允許將對話資料用於訓練」的隱私開關,意味著用戶對自身數據的掌控權極為有限,預設的資料收集機制可能進一步放大個資風險。
AI 能力飛速進化,資料安全處理卻跟不上
此次 Kimi 隱私事件再次為整個 AI 產業敲響警鐘。Kimi K2.6 以長文編碼與多代理協作等強大功能為亮點,卻在最基本的資料隔離層出現嚴重疏失,凸顯中國製 LLM 在資料處理上的明顯失誤。
鏈新聞建議,使用者應避免將含有真實姓名、電話號碼、身分證字號或地址等敏感資訊的文件上傳至 AI 平台;若有需求,應優先選用具明確隱私控制選項的服務,或在上傳前遮蔽敏感資訊。
對於 AI 開發商而言,如何在快速迭代功能的同時,同步強化資料隔離機制並確保用戶隱私,將是能否維繫社群信任的關鍵。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
