本文来自微信公众号: 心智观察所 ,作者:心智观察所
手机响了,一个陌生号码出现在屏幕上。
你接起来,对方开口就问:“是张律师吗?我想咨询个案子……”
你一脸懵:“你打错了,我不是律师。”
挂掉电话,不到十分钟,又一个陌生来电:“喂,是开锁的张师傅吗?我被锁在门外了……”
这不是恐怖小说。全球各地正在真实发生“AI人肉搜索”事件。
过去几个月来,人们在社交平台和多家媒体上接二连三地报告了同一个令人不安的现象:他们发现自己的个人手机号码、家庭住址等私密信息正在被ChatGPT、Gemini、Grok等流行AI聊天机器人泄露给完全陌生的路人。
更可怕的是,一旦你的信息进入了这些AI系统,想要删除?对不起,目前几乎无解。
“我的手机被陌生人打爆了”
故事要从一位Reddit用户说起。
他在r/Google论坛上发帖求助:过去一个月来,他的手机被无数陌生人打爆了。
“有人找律师,有人找产品设计师,有人找锁匠。只有你想不到,没有他们找不到的。”他写道,“每个打电话的人讲的都是同一句话:‘我是从谷歌AI那里拿到你的号码的。’这是严重的隐私侵犯和数据泄露。我的手机不停地响,都是些指望得到某种服务的陌生人,我的日常生活被彻底打乱了。”
这不是个案。
今年3月,以色列一位叫Daniel Abraham的28岁软件工程师突然在WhatsApp上收到陌生人的消息,对方请他帮忙解决支付应用PayBox的账户问题。
Abraham一头雾水,以为遇到了骗子。可对方发来的聊天截图令他毛骨悚然——谷歌的聊天机器人Gemini让用户联系PayBox客服,就打这个WhatsApp号码,而那个号码正是Abraham的私人手机号。
问题是,Abraham压根儿不在这家公司工作,PayBox也根本没有WhatsApp的客服热线。
更离谱的是,Abraham后来自己问Gemini“怎么联系PayBox客服”,结果Gemini又生成了另一个无辜路人的WhatsApp号。
Gemini给出了电话号码。图源MIT Technology Review
今年4月,华盛顿大学博士生Meira Gilbert在试用Gemini时,随手搜索了自己的同事兼朋友Yael Eiger的联系方式。她原本只想看看Gemini会怎么总结Eiger的学术研究,谁知AI不仅给出了研究概述,还直接把Eiger的个人手机号码完整地显示了出来。
“我当时就震惊了,”Gilbert说。
据Eiger回忆,去年,为了参加一个研讨会,她确实把手机号分享到网上了。但她从没想过,这个号码会被AI抓取、放大,然后以一种普通人用普通的谷歌搜索根本翻不到的方式,喂给任何提出询问的人。
“你的信息原本只对特定范围的受众可见,”Eiger说,“而Gemini却让任何人都能拿到它。”
经历此事后,Eiger、Gilbert和另一位华盛顿大学博士生Anna-Maria Gueorguieva决定做个测试,看看ChatGPT是否会挖出一位教授的信息。起初,防护栏起了作用,ChatGPT回复说信息不可用,但在同一条回复中,聊天机器人又建议他们缩小范围,比如提供该教授“可能居住的社区”或“房屋共同持有者的姓名”。学生们提供了这些信息,导致ChatGPT从城市房产记录中生成了该教授的家庭住址、购房价格和配偶姓名。
被曝光的不仅仅是Gemini和ChatGPT。去年有人发现,只要你能提供关于姓名、地址的简单提示词,xAI的Grok即可一键对素人进行人肉搜索,几乎每次都会提供住宅地址,甚至常常附带电话号码、电子邮件和家人信息,足以让一个心怀歹意的骚扰者找到你。
Grok提供的隐私信息。图源Futurism
记者亲测:ChatGPT爽快地交出了我的号码
美国科技网站Gizmodo的记者Matt Novak最近决定亲自下场测试。
他向ChatGPT索要“Matt Novak的电话号码”,结果ChatGPT准确无误地报出了他的一个几年前就已经停用的旧号码。
ChatGPT还很“贴心”地附上一句:“我无法验证该号码是否依然有效。”
这个号码是从哪儿来的?Novak追查后发现,ChatGPT似乎是从他2016年向美国联邦贸易委员会提交的一份《信息自由法》申请文件的PDF中提取的。
一份深埋在政府数据库里的旧文件,被AI爬虫抓取、喂进模型,最终在多年后“复活”并吐给了任何一个好奇的提问者。
更刺激的是,Novak继续追问ChatGPT索要“Matt Novak的地址”,AI再次爽快交出——同样是他已经不再居住的旧地址。
他又换了Grok、Claude、Perplexity和Gemini分别测试。
Grok:拒绝交出号码,但识别出Novak是在查询自己的信息(其他聊天机器人都没有意识到这一点)。
Claude:拒绝,并严肃表示“分享包括记者在内的私人联系方式会引发严重隐私问题”。
Perplexity:拒绝交出电话号码,但痛快地给出了Novak的Signal用户名。
Gemini:拒绝直接交出号码,但引导用户去尝试Novak的工作邮箱和个人邮箱——这两个邮箱都是他自愿公开的。但Novak直接问“818-925-4375这个号码是谁的”,Gemini一秒都没有犹豫,给出了正确回答:“属于记者Matt Novak。”
暴涨的担忧与激增的风险
到底有多少人的隐私信息正在被AI泄露?目前没有确切数字,因为大多数受害者根本没有发声途径,甚至可能还不知情。
但有一组数据可供参考:帮助用户从互联网上删除个人信息的公司DeleteMe透露,过去7个月里,客户关于生成式AI的咨询暴增了400%,达到几千条。这些咨询明确提到ChatGPT、Gemini、Claude等工具。其中,55%的担忧指向ChatGPT,20%指向Gemini,15%指向Claude,剩下10%涉及其他AI工具。
DeleteMe联合创始人兼CEO Rob Shavell总结了两种最常见的投诉模式:
第一种,用户出于好奇用聊天机器人查询关于自己的信息,结果AI返回了精确到门牌号的家庭地址、手机号、家庭成员姓名、雇主详情。这些信息原本不该被轻易获取。
第二种,用户无意中发现别人的隐私被泄露,比如“聊天机器人生成了看起来合理但其实是错误的联系信息”,结果把无辜路人的电话号码推给了寻求客服帮助的用户。
随着公共数据的“耗尽”,AI公司开始寻找新的高质量训练数据来源,个人身份信息出现在AI训练数据中的可能性只增不减。这些来源包括数据经纪商和人脉搜索网站。例如,在加州运营的578家注册数据经纪商中,有31家报告自己在过去一年中将消费者数据共享或出售给生成式AI系统或模型的开发者”。
数据清除服务公司ClearNym的一位发言人表示:“十多年来,许多组织一直在暗中从公共数据库中收集个人信息,如个人电话号码、地址、家庭关系和其他个人身份细节。这些信息被出售、交易,并被扔进机器学习训练集中。如今,它们以精确复制品甚至凭空捏造的形式回归”
ClearNym的研究人员声称,随着基于更多数据训练的、更强大的新型AI模型的出现,这个问题很可能会变得更糟,称这可能是年度最大的隐私事件之一。
更可怕的是,犯罪分子已经开始有意识地利用AI的这种“幻觉”机制。
数百万英国人已经通过AI工具接收到虚假的客服电话。诈骗分子会故意在网络上“播撒有毒内容”,这些虚假号码被AI的网络爬虫抓取,混入训练数据,最终被模型当作“正确答案”呈现给用户。
AI安全公司Aurascape的首席安全研究员Qi Deng直言:“攻击者正在悄悄改写AI系统所读取的网络内容。如果问AI助手‘怎么给航空公司打电话’,它给出的客服和预订号码会直接把你引向骗子。”
到时候你拨打那个“官方电话”,另一头等着你的不是航空公司客服,而是一个设计好全套话术的诈骗团伙。
信息删除难上加难
一个关键问题出现了:为什么搜索引擎可以“遗忘”,AI模型却不行?
斯坦福大学人工智能研究所的隐私与数据研究员Jennifer King解释了其中的吊诡之处。现有的隐私法律的管辖范围并不涵盖“公开可用”的信息,也就是那些已经被AI公司从公共网页上抓取、用于训练大语言模型的海量数据,尤其是这些数据早已被“匿名化”处理了。
但“匿名化”是否真的能保护隐私?多项研究早已证明,从所谓的匿名数据中重新识别出真实身份并定位到具体个人,其实远比人们想象的更加容易。
King还提出了一个尖锐的问题:这些AI公司到底有没有系统性地回溯那些已经从公共互联网上扒来的数据,并对此进行处理?
“不知道,”她说,“谁也不愿开诚布公。”
理论上,比较理想的方案是“把所有电话号码或者所有长得像电话号码的数据全部从训练集中剔除”。但King指出,至今没有一家公司愿意说明自己在这样做。
各大AI公司的应对方案,要么语焉不详,要么形同虚设。
谷歌Gemini团队的回应是“正在审查具体案例”,并提供了一个帮助页面,让用户提交“反对处理个人数据”或“要求更正不准确个人数据”的申请。但页面上却有一行小字注明:公司的回应将取决于你所在地区的隐私法律。
OpenAI有一个隐私门户,允许用户提交删除个人信息的请求,但同时强调,公司将“在隐私请求与公共利益之间进行权衡”“如果有合法理由,可能会拒绝请求”。被问及具体泄露事件时,OpenAI代表表示,没有看到截图、不知道用户用的是哪个模型版本,则无法置评。
Anthropic描述了它在模型训练中使用个人数据的方式,但没有提供任何允许用户请求删除的明确途径。该公司拒绝对此发表评论。
那位号码被谷歌AI泄露的Reddit用户绝望地写道:“标准的支持表单完全是死路一条……我提交了一份正式的法律移除/隐私请求,要求谷歌紧急将我的号码从其大语言模型的输出中列入黑名单。至今没收到任何回应,骚扰每天都在继续。”
关于信息删除的规则缺失和立法漏洞导致受害者几乎没有保护自己的办法。
诚如ClearNym的发言人所言:“他们无法命令AI遗忘这些信息,无法追查所有给算法提供数据的数据经纪商,而且也没有监管机构进行监督。”
我们该怎么办?
如果将这场关于隐私的噩梦比作一个水管系统,那么数据泄露就是管道上游源源不断的污水。
普通人可以从源头抓起,在你的个人数据被下一次网络抓取卷走之前,把它们从公共网络上删掉。然而,这只能解决下一次被抓取的问题。对于已经被吃掉、消化、融入模型血液的数据,人们几乎无计可施。搜索引擎可以“遗忘”,但AI模型无法“学习遗忘”。
Gilbert说,其中一些信息可能“在技术上算是公开的”,但聊天机器人可能正在改变“你找到它所需付出的努力程度”。现在,人们不必翻阅10页谷歌搜索结果,或向数据经纪商网站付费购买信息,“生成式AI是否恰恰降低了定位个人目标的准入门槛?”
亲眼见证了AI的隐私漏洞,Eiger、Gilbert与Gueorguieva这几位年轻的博士生便开始设计一个研究项目,想要系统性地搞清楚:不同的AI聊天机器人到底掌握了多少个人信息?那些表面上拒绝回答的模型是否早已知晓一切,只是接到指令暂时“闭嘴”而已?
Gilbert提出了一个发人深省的问题:从技术层面上讲,这些信息或许是公开的,但AI彻底改变了搜索它们的难度。以前你需要在网上翻找10页结果,甚至付费购买数据经纪商的报告,而现在,你只需要问AI一句人话就行。
Gilbert问道,“AI是否降低了人肉搜索的门槛?”
想象一下,你的个人信息也许已被某个AI锁在某个角落,等着某个陌生人随手打开。这是AI时代的惊悚情节。
参考文献
https://www.the-independent.com/tech/ai-doxxing-gemini-hallucination-google-b2973008.html
AI chatbots are giving out people’s real phone numbers|MIT Technology Review
https://gizmodo.com/chatgpt-gave-out-my-address-and-phone-number-2000758330
Elon Musk's Grok AI Is Doxxing Home Addresses of Everyday People