每經(jīng)記者｜宋欣悅  溫夢(mèng)華    每經(jīng)編輯｜張益銘    

4月20日深夜，Kimi K2.6發(fā)布，超強(qiáng)代碼能力引爆AI（人工智能）圈。就在行業(yè)狂歡當(dāng)天，網(wǎng)友張呈（化名）的一則發(fā)帖，引發(fā)眾人對(duì)AI泄露隱私的擔(dān)憂。

“20日下午，我讓Kimi翻譯英文，它卻把陌生人簡歷發(fā)給了我，當(dāng)中有姓名、電話、工作經(jīng)歷等?！睆埑矢嬖V《每日經(jīng)濟(jì)新聞》記者（以下簡稱每經(jīng)記者），他通過簡歷上的電話聯(lián)系到了鐘先生，所有信息都能和“真人”對(duì)上。

每經(jīng)記者隨后也向被泄露隱私的鐘先生確認(rèn)此事屬實(shí)。此外，張呈稱，自稱Kimi工作人員的人向他解釋，“是AI出現(xiàn)幻覺所致”。

但幻覺多為杜撰，此次Kimi泄露的用戶信息全為真實(shí)。為何會(huì)出現(xiàn)這類問題？“幻覺所致”能回避責(zé)任嗎？每經(jīng)記者向Kimi母公司月之暗面發(fā)去采訪提綱并多次溝通，截至發(fā)稿并未得到回復(fù)。

當(dāng)AI滲透到我們工作生活的方方面面，用戶數(shù)據(jù)被拆解為訓(xùn)練模型的參數(shù)，我們?cè)撊绾伪Ｗo(hù)自己？

用戶讓大模型幫忙翻譯

卻意外收到陌生人簡歷

“4月20日下午，我像往常一樣打開Kimi處理工作，原本只想讓它幫忙翻譯一份普通的英語PPT，卻在幾輪對(duì)話后，收到一份陌生人簡歷?！?月22日，張呈在接受每經(jīng)記者采訪時(shí)表示，其從事的是互聯(lián)網(wǎng)廣告工作，日常會(huì)高頻使用多款A(yù)I大模型工具。

根據(jù)張呈提供的多張截圖，每經(jīng)記者看到，他并未向Kimi發(fā)送索要“簡歷”等提示詞，只是上傳了一張PPT目錄的圖片，讓其翻譯圖上僅有的三行英文。對(duì)應(yīng)的中文翻譯應(yīng)該為：2025年“618”市場與平臺(tái)趨勢(shì)、頭部玩家表現(xiàn)與經(jīng)驗(yàn)、后續(xù)“雙11”的籌備規(guī)劃。

Kimi給出PPT目錄圖片是關(guān)于“減振技術(shù)”的回復(fù) 受訪者供圖

對(duì)AI來講，這是個(gè)再簡單不過的翻譯任務(wù)，但Kimi卻給出了令張呈十分不解的回復(fù)?！癒imi先是說這張圖是關(guān)于‘減振技術(shù)’的，我便提出了質(zhì)疑?！睆埑时硎?。

隨后，Kimi發(fā)來了令張呈感到意外和不安的內(nèi)容：一份陌生人的個(gè)人簡歷?！昂啔v信息極為詳盡，不僅有姓名、電話、郵箱等基礎(chǔ)信息，甚至還有求職者完整的工作經(jīng)歷、項(xiàng)目經(jīng)歷、核心業(yè)績等?！睆埑恃a(bǔ)充道。

Kimi發(fā)來的個(gè)人簡歷信息 受訪者供圖

“我很擔(dān)心，因?yàn)槲抑耙步oKimi發(fā)過自己的姓名、住址、個(gè)人喜好等隱私信息。”張呈告訴記者，他立刻聯(lián)想到了自身的隱私安全。

出于好奇，張呈按照Kimi發(fā)來的簡歷上的電話聯(lián)系了鐘先生，沒想到所有信息都能和“真人”對(duì)上。張呈告訴每經(jīng)記者：“在我們的交流中，鐘先生表示他的確在事發(fā)當(dāng)天上午向Kimi發(fā)送了自己的簡歷，讓大模型幫忙潤色?！?/p>

4月22日，每經(jīng)記者聯(lián)系到被泄露隱私的鐘先生，確認(rèn)此事屬實(shí)，對(duì)方稱目前已委托北京當(dāng)?shù)氐穆蓭熖幚泶耸隆?/p>

張呈告訴每經(jīng)記者，與鐘先生交流后，他立刻通過Kimi App內(nèi)部渠道和官方郵箱進(jìn)行反饋，并向網(wǎng)信辦進(jìn)行了舉報(bào)。4月20日晚，他將經(jīng)歷發(fā)布到了社交媒體上，引發(fā)關(guān)注。

“自稱Kimi官方的人多次通過不同渠道聯(lián)系我，一開始說這是因?yàn)閳D片發(fā)送失敗導(dǎo)致的模型幻覺行為，非‘串臺(tái)’或信息泄露?！睆埑矢嬖V每經(jīng)記者，后續(xù)對(duì)方又解釋稱“這是小概率事件”。

但在張呈看來，即便這是一起小概率事件，卻也會(huì)讓普通人陷入較大風(fēng)險(xiǎn)?！癒imi是我精挑細(xì)選出來的AI大模型，但我以后不敢用了?！睆埑侍寡?，這讓他對(duì)AI產(chǎn)品的使用產(chǎn)生了極大的警惕?！?0日晚我向Kimi申請(qǐng)會(huì)員退費(fèi)，21日下午就收到了退款。今后我將不再向AI發(fā)送任何個(gè)人隱私信息?！?/p>

截至發(fā)稿，張呈告訴每經(jīng)記者，除了自稱Kimi官方員工的私人號(hào)碼數(shù)次聯(lián)系過他外，尚未收到任何Kimi官方渠道的正式溝通。

Kimi為何會(huì)在聊天中把用戶的隱私發(fā)給他人？這是單一案例還是存在更多相似異常？張呈收到的“AI出現(xiàn)了幻覺”的解釋，是否代表Kimi官方回復(fù)？后續(xù)Kimi將如何整改避免類似事件再發(fā)生？為此，每經(jīng)記者向Kimi母公司月之暗面發(fā)去采訪提綱并多次溝通，但截至發(fā)稿并未得到回復(fù)。

AI為何會(huì)“串臺(tái)”推送真人隱私？

多專家拆解泄露根源

值得注意的是，“AI幻覺”大多為杜撰，而此次大模型泄露的用戶信息全為真實(shí)，真能歸責(zé)為“幻覺”嗎？

“幻覺是‘胡說八道’，而這次是‘說對(duì)了，但不該說’?！本磥韯?chuàng)始人兼CEO（首席執(zhí)行官）、浙江大學(xué)“百人計(jì)劃”研究員韓蒙向每經(jīng)記者指出，這不屬于典型意義上的“AI幻覺”，更多屬于數(shù)據(jù)隔離失效、會(huì)話管理不當(dāng)或越權(quán)訪問等工程化鏈路上的問題。

深耕人工智能產(chǎn)業(yè)多年的技術(shù)專家徐立（化名）也向每經(jīng)記者坦言：“此事更可能涉及會(huì)話隔離、緩存復(fù)用、檢索增強(qiáng)生成鏈路綁定錯(cuò)誤、對(duì)象存儲(chǔ)訪問控制失效或日志回放異常?！?/p>

在徐立看來，若返回內(nèi)容是憑空編造的虛假簡歷，可歸入幻覺；若返回內(nèi)容與另一名真實(shí)用戶上傳的簡歷高度一致，且姓名、電話等均可核驗(yàn)，則更接近系統(tǒng)隔離失效。

“‘跨用戶原文串臺(tái)’不屬于高頻日常故障，但也絕非從未發(fā)生?！毙炝⒄J(rèn)為，這暴露出大模型時(shí)代的隱私風(fēng)險(xiǎn)已從傳統(tǒng)數(shù)據(jù)庫泄露延伸到推理鏈路、緩存層、檢索層、分享層和多租戶隔離層，進(jìn)入“鏈路級(jí)”階段。

韓蒙指出，如果是指大模型“背誦”出“訓(xùn)練數(shù)據(jù)記憶”，這類風(fēng)險(xiǎn)在大模型應(yīng)用領(lǐng)域并不陌生，LLM（大語言模型）應(yīng)用“輸出敏感信息”已被OWASP（開放全球應(yīng)用安全項(xiàng)目）列入大模型應(yīng)用的前十大風(fēng)險(xiǎn)之一。但此類情況在成熟的企業(yè)級(jí)AI大模型產(chǎn)品中并不常見，這往往指向工程架構(gòu)或系統(tǒng)層面的疏漏，而不僅僅是大模型本身的底層算法缺陷。

每經(jīng)記者從多位資深技術(shù)專家處采訪了解到，從技術(shù)角度來看，導(dǎo)致“串臺(tái)”的可能路徑主要有以下幾類：

其一，數(shù)據(jù)隔離失效或多用戶上下文污染，導(dǎo)致A用戶請(qǐng)求命中B用戶殘留數(shù)據(jù)；

其二，檢索增強(qiáng)生成鏈路把向量庫、文件索引或召回結(jié)果綁定到其他用戶；

其三，文件解析和臨時(shí)對(duì)象存儲(chǔ)的訪問控制失效，造成錯(cuò)誤文件被二次讀??；

其四，異步任務(wù)、消息隊(duì)列或日志回放時(shí)，任務(wù)標(biāo)識(shí)與用戶標(biāo)識(shí)錯(cuò)配；

其五，分享鏈接、搜索索引或外部工具回調(diào)配置不當(dāng)，使本應(yīng)私有的數(shù)據(jù)暴露到更廣范圍。

“對(duì)企業(yè)而言，當(dāng)前最需要的不是用‘幻覺’概念壓制輿情，而是盡快發(fā)布有時(shí)間線、有影響范圍、有補(bǔ)救措施的正式調(diào)查說明?！毙炝⒔ㄗh道。

“AI幻覺”不能作為免責(zé)理由

律師：已構(gòu)成個(gè)人隱私泄露

“無論技術(shù)原因如何，這一事件都向公眾敲響了警鐘：用戶與AI的對(duì)話記錄確實(shí)‘有很大概率被別人看到’，這對(duì)AI服務(wù)的信任基礎(chǔ)構(gòu)成了嚴(yán)重沖擊?！辟Y深律師、中國人民大學(xué)律師學(xué)院兼職教授王光英向每經(jīng)記者表示。

王光英強(qiáng)調(diào)，姓名、電話等信息不僅是個(gè)人信息，還屬于敏感個(gè)人信息。在她看來，“Kimi的這一行為在法律上構(gòu)成‘個(gè)人信息處理者未經(jīng)授權(quán)向他人提供個(gè)人信息’，屬于典型的個(gè)人信息泄露，涉嫌違法違規(guī)。該行為違反了個(gè)人信息保護(hù)法、民法典、網(wǎng)絡(luò)安全法等相關(guān)法律”。

張呈于4月20日晚發(fā)起Kimi會(huì)員退款申請(qǐng)，次日下午收到退款  受訪者供圖

一位業(yè)內(nèi)人士也向每經(jīng)記者指出：“對(duì)公眾而言，最關(guān)鍵的點(diǎn)不在于產(chǎn)品是否短時(shí)異常，而在于另一名用戶提交給系統(tǒng)的私人材料，是否被無授權(quán)地返回給了無關(guān)用戶。若情況屬實(shí)，（Kimi）在技術(shù)上就已觸碰個(gè)人信息保護(hù)的底線?！?/p>

“雖然Kimi發(fā)生這一錯(cuò)誤的概率很小，用戶的個(gè)人信息也并未面向所有大眾公開，但對(duì)于用戶來說，個(gè)人信息隱私保護(hù)仍然受到侵犯?！巴豕庥⑦€向每經(jīng)記者指出，“在國產(chǎn)大模型領(lǐng)域，這種將后臺(tái)本體記憶中存儲(chǔ)的真人信息泄露的情況，以前并未發(fā)現(xiàn)過?！?/p>

在王光英看來，“AI幻覺”在法律上不能作為免責(zé)的理由，AI不是法律主體，真正需要承擔(dān)法律責(zé)任的是提供AI服務(wù)的運(yùn)營主體?！氨敬涡孤兜氖钦鎸?shí)的、由用戶主動(dòng)提供的個(gè)人信息，而非AI自主生成的不準(zhǔn)確內(nèi)容。數(shù)據(jù)安全保護(hù)義務(wù)是平臺(tái)的法定義務(wù)，法律有明確的標(biāo)準(zhǔn)，與技術(shù)成熟度無關(guān)?！?/p>

每經(jīng)記者查詢Kimi《用戶隱私協(xié)議》看到，其在特別聲明中提示，請(qǐng)謹(jǐn)慎上傳敏感個(gè)人信息。特別聲明還提到，如果信息無法單獨(dú)或結(jié)合其他信息識(shí)別到個(gè)人身份，則其不屬于法律意義上個(gè)人信息；如果能夠識(shí)別出個(gè)人身份，則會(huì)嚴(yán)格按照本政策處理這些信息。

那么，Kimi《用戶隱私協(xié)議》中的特別聲明能否提供免責(zé)保護(hù)？

“不能?！蓖豕庥⑻寡?，這類提示僅能提醒用戶注意自身行為，但不能免除平臺(tái)法定的數(shù)據(jù)安全保護(hù)義務(wù)，記錄并使用用戶信息的行為本身并不違法，但一旦向第三方泄露了用戶隱私，AI平臺(tái)仍需要擔(dān)責(zé)。

大模型泄露隱私頻發(fā)

AI時(shí)代如何守護(hù)個(gè)人安全

這并非Kimi首次因數(shù)據(jù)合規(guī)問題進(jìn)入公眾視野。

2025年，國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心曾發(fā)布通告，Kimi等35款移動(dòng)應(yīng)用存在違法違規(guī)收集使用個(gè)人信息行為。

事實(shí)上，在AI浪潮之下，當(dāng)AI大模型一路高歌猛進(jìn)時(shí)，大模型的數(shù)據(jù)安全與個(gè)人信息保護(hù)問題早已成為行業(yè)面臨的系統(tǒng)性挑戰(zhàn)。

2025年9月發(fā)布的國內(nèi)首個(gè)大模型安全眾測結(jié)果顯示，大模型普遍存在隱私泄露風(fēng)險(xiǎn)，共發(fā)現(xiàn)安全漏洞281個(gè)。

徐立向記者表示，據(jù)不完全統(tǒng)計(jì)，國內(nèi)外大模型關(guān)于隱私泄露的事，大概有100多起。

例如，ChatGPT在2023年曾因緩存和連接復(fù)用缺陷，出現(xiàn)跨用戶聊天標(biāo)題可見以及少量賬單信息暴露問題；同年9月，谷歌旗下Gemini（原名Bard）的共享聊天鏈接被搜索引擎意外收錄；2025年，部分ChatGPT用戶的個(gè)人敏感對(duì)話內(nèi)容被發(fā)現(xiàn)持續(xù)泄露至搜索引擎等。

“關(guān)于個(gè)人信息和用戶隱私的泄露，現(xiàn)階段很難承諾‘技術(shù)上絕對(duì)杜絕’?！毙炝⑻寡?，原因在于，大模型服務(wù)已不是單一模型，而是一個(gè)復(fù)雜系統(tǒng)，任何細(xì)小缺陷都可能把局部問題放大成跨用戶暴露。

韓蒙向每經(jīng)記者進(jìn)一步解釋，技術(shù)難點(diǎn)在于大模型的“黑盒特性”與內(nèi)部神經(jīng)元的復(fù)雜機(jī)制導(dǎo)致隱私信息不可見，且易被特定誘導(dǎo)輸出。同時(shí)，不同場景下的隱私保護(hù)需求并不一樣，很難用一套完全通用的方案覆蓋所有場景。

“治理需要通過外部實(shí)時(shí)審計(jì)配合模型底層的防御性遺忘學(xué)習(xí)：一方面，在模型內(nèi)部通過類似‘做手術(shù)’的方式，對(duì)不該保留的數(shù)據(jù)進(jìn)行精準(zhǔn)‘擦除’；另一方面，在模型外部增加實(shí)時(shí)審計(jì)和防護(hù)，對(duì)輸入和輸出都進(jìn)行把關(guān)，及時(shí)攔截違規(guī)指令、過濾敏感內(nèi)容，并對(duì)交互過程進(jìn)行合規(guī)記錄和審計(jì)?！表n蒙表示。

在徐立看來，大模型時(shí)代的數(shù)字隔離，核心是把“模型能看到什么、能記住什么、能調(diào)用什么、能返回什么”分層管住，目前業(yè)界正朝基礎(chǔ)設(shè)施、應(yīng)用架構(gòu)、訓(xùn)練與推理一體治理三個(gè)方向推進(jìn)，把法律規(guī)則、系統(tǒng)架構(gòu)、工程治理和默認(rèn)隱私設(shè)計(jì)同時(shí)前移。

（黃宗彥、溫沐夏對(duì)本文亦有貢獻(xiàn)）