网络安全媒体 Cybernews 最近曝光了一起严重的数据泄露事件,涉及两款热门的 AI 伴侣类应用:“Chattee Chat – AI Companion” 和 “GiMe Chat – AI Companion”。由于开发方在安全防护上的重大疏漏,超过 40 万名用户的私人信息、累计达 4300 多万条聊天记录,以及逾 60 万张图片和视频内容被完全暴露于互联网中。
调查发现,问题出在一个未加保护的 Kafka Broker 实例上。该系统原本用于接收并存储用户与 AI 之间的全部对话内容,但研究人员检测到其未设置任何身份验证机制或访问权限控制,导致任何人只要获取链接即可随意浏览全部数据。
虽然泄露的数据中不包含直接的个人身份信息,但其中附带的 IP 地址和设备唯一标识符仍可能被用于追踪和关联特定用户,为网络诈骗、勒索或人肉搜索等恶意行为提供可乘之机。
这两款 AI 陪伴应用在安卓和 iOS 平台上均拥有广泛用户基础。“Chattee Chat”曾在苹果 App Store 娱乐类应用榜单中排名靠前,位列第121名,预估下载量突破30万次。数据显示,用户活跃度极高,人均发送消息数量高达107条。
更引人关注的是其商业模式:部分用户在虚拟货币充值上的消费惊人,最高单人支出接近1.8万美元,整体营收推测已超百万美元。而此次泄露的认证令牌极有可能被黑客利用,实现账户接管,进而盗取账户内的虚拟资产,带来实际经济损失。
在接到 Cybernews 团队通报后,相关开发商已迅速关闭存在风险的 Kafka Broker 服务。然而,目前无法确认此前是否有第三方已趁机窃取海量敏感数据。
这起事件再次引发公众对 AI 情感陪伴类应用安全与伦理问题的深度担忧。用户在这些平台中分享最隐秘的情绪与生活细节,却因基础性的技术防护缺失而陷入隐私裸奔的境地。Cybernews 呼吁此类应用必须立即强化安全架构,全面启用身份验证机制、限制访问来源 IP,并实施严格的权限管控措施,切实守护用户的数据安全与心理信任。
