4月21日,有博主在社交媒体发文称,月之暗面旗下AI产品Kimi泄露用户隐私。
该博主表示,在使用Kimi时手滑粘贴错了一张图,系统先输出了一段无关的工程学文字,随后直接返回了一份包含姓名、电话、邮箱等真实信息的简历,疑似为其他用户上传的简历被系统错误发送。
事件曝光后,当事人通过简历上的联系方式找到了对方,对方确认自己在同一时间段内确实曾将个人简历提交至Kimi进行处理,所提交内容为文档格式,并非公开信息。
据简历遭泄露的用户透露,他最近正在找工作,曾用Kimi帮助润色简历,而这一时间点与爆料网友使用Kimi辅助工作前后间隔约6个小时。
当事人随即向Kimi官方邮件投诉,24小时未获回复。此后,有自称Kimi工作人员的人与当事人联系,将该情况解释为“AI幻觉”,并建议删除相关帖文。当事人拒绝删除。
随后又有自称Kimi官方工作人员的人改口称此次情况属于“发串”,即系统将其他用户的回复错误发送给了当事人。对于“发串”的具体技术原因,官方尚未作出进一步说明。
业内人士分析认为,此类情况属于小概率事件,是“哈希碰撞”恰好与AI幻觉叠加后导致的后果。
复旦大学计算与智能创新学院教授张奇解释,当用户将文档上传到生成式AI平台后系统会生成一个文档,极端情况下系统可能给不同用户的两个文档分配同一个名字,从而产生错乱。但两位当事人对此说法并不认可。
值得注意的是,此类AI隐私安全问题并非Kimi一家独有。
2025年5月,国家网络与信息安全信息通报中心发布通告,35款移动应用存在违法违规收集使用个人信息情况,智谱清言因实际收集的个人信息超出用户授权范围被通报,Kimi因实际收集的个人信息与业务功能没有直接关联被点名,同期被点名的还有字节旗下的猫箱、美团旗下的Wow等产品。
南都大数据研究院此前对8款国内AI大模型进行实测发现,DeepSeek、Kimi、豆包、千问、元宝、讯飞星火、文心一言、智谱清言的对话记录分享功能均通过公开网页或小程序形式实现,用户一旦点击“分享”按钮,对话内容即可能暴露在互联网上。
在安全提醒方面,仅有DeepSeek在生成分享链接前主动提醒用户检查是否包含敏感内容,其余7款均未设置前置提醒。
北京卓浩律师事务所律师张建分析指出,Kimi作为AI服务提供者,负有严格的用户数据安全保护义务,不得非法向他人提供其他用户的输入信息。
此次“发串”事件属于较为严重的技术故障或管理失职,已构成违约与侵权。受害方可以先与平台沟通,如果平台不处理,可以向网信、市场监管、工信等部门投诉,最后如仍不能解决可提起诉讼。
记者查询Kimi隐私协议条款发现,其中有一条特别声明称“请谨慎上传敏感个人信息”。律师游云庭表示,根据用户协议,用户所有输入AI的文本都可能被用来优化模型,因此记录并使用用户信息的行为本身并不违法。不过,一旦向第三方泄露了用户隐私,AI平台仍然需要担责。
有网友在事件发酵后评论:“我不介意把我的简历发给AI,毕竟用户协议写了训练前会脱敏,但是像这样直接原样误发给陌生人也太炸裂了。”
还有深度用户甚至开发者明确表态:“我已卸载注销Kimi,在调查结果没有出来之前,不会再使用官方提供的API和网页。”截至目前,月之暗面官方未就该事件发布进一步说明。
声明:本文来自i黑马,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
