每經(jīng)記者｜宋欣悅  溫夢華    每經(jīng)編輯｜張益銘    

4月20日深夜，Kimi K2.6發(fā)布，超強代碼能力引爆AI（人工智能）圈。就在行業(yè)狂歡當(dāng)天，網(wǎng)友張呈（化名）的一則發(fā)帖，引發(fā)眾人對AI泄露隱私的擔(dān)憂。

“20日下午，我讓Kimi翻譯英文，它卻把陌生人簡歷發(fā)給了我，當(dāng)中有姓名、電話、工作經(jīng)歷等?！睆埑矢嬖V《每日經(jīng)濟新聞》記者（以下簡稱每經(jīng)記者），他通過簡歷上的電話聯(lián)系到了鐘先生，所有信息都能和“真人”對上。

每經(jīng)記者隨后也向被泄露隱私的鐘先生確認此事屬實。此外，張呈稱，自稱Kimi工作人員的人向他解釋，“是AI出現(xiàn)幻覺所致”。

但幻覺多為杜撰，此次Kimi泄露的用戶信息全為真實。為何會出現(xiàn)這類問題？“幻覺所致”能回避責(zé)任嗎？每經(jīng)記者向Kimi母公司月之暗面發(fā)去采訪提綱并多次溝通，截至發(fā)稿并未得到回復(fù)。

當(dāng)AI滲透到我們工作生活的方方面面，用戶數(shù)據(jù)被拆解為訓(xùn)練模型的參數(shù)，我們該如何保護自己？

用戶讓大模型幫忙翻譯

卻意外收到陌生人簡歷

“4月20日下午，我像往常一樣打開Kimi處理工作，原本只想讓它幫忙翻譯一份普通的英語PPT，卻在幾輪對話后，收到一份陌生人簡歷?！?月22日，張呈在接受每經(jīng)記者采訪時表示，其從事的是互聯(lián)網(wǎng)廣告工作，日常會高頻使用多款A(yù)I大模型工具。

根據(jù)張呈提供的多張截圖，每經(jīng)記者看到，他并未向Kimi發(fā)送索要“簡歷”等提示詞，只是上傳了一張PPT目錄的圖片，讓其翻譯圖上僅有的三行英文。對應(yīng)的中文翻譯應(yīng)該為：2025年“618”市場與平臺趨勢、頭部玩家表現(xiàn)與經(jīng)驗、后續(xù)“雙11”的籌備規(guī)劃。

Kimi給出PPT目錄圖片是關(guān)于“減振技術(shù)”的回復(fù) 受訪者供圖

對AI來講，這是個再簡單不過的翻譯任務(wù)，但Kimi卻給出了令張呈十分不解的回復(fù)?！癒imi先是說這張圖是關(guān)于‘減振技術(shù)’的，我便提出了質(zhì)疑?！睆埑时硎?。

隨后，Kimi發(fā)來了令張呈感到意外和不安的內(nèi)容：一份陌生人的個人簡歷。“簡歷信息極為詳盡，不僅有姓名、電話、郵箱等基礎(chǔ)信息，甚至還有求職者完整的工作經(jīng)歷、項目經(jīng)歷、核心業(yè)績等?！睆埑恃a充道。

Kimi發(fā)來的個人簡歷信息 受訪者供圖

“我很擔(dān)心，因為我之前也給Kimi發(fā)過自己的姓名、住址、個人喜好等隱私信息。”張呈告訴記者，他立刻聯(lián)想到了自身的隱私安全。

出于好奇，張呈按照Kimi發(fā)來的簡歷上的電話聯(lián)系了鐘先生，沒想到所有信息都能和“真人”對上。張呈告訴每經(jīng)記者：“在我們的交流中，鐘先生表示他的確在事發(fā)當(dāng)天上午向Kimi發(fā)送了自己的簡歷，讓大模型幫忙潤色?！?/p>

4月22日，每經(jīng)記者聯(lián)系到被泄露隱私的鐘先生，確認此事屬實，對方稱目前已委托北京當(dāng)?shù)氐穆蓭熖幚泶耸隆?/p>

張呈告訴每經(jīng)記者，與鐘先生交流后，他立刻通過Kimi App內(nèi)部渠道和官方郵箱進行反饋，并向網(wǎng)信辦進行了舉報。4月20日晚，他將經(jīng)歷發(fā)布到了社交媒體上，引發(fā)關(guān)注。

“自稱Kimi官方的人多次通過不同渠道聯(lián)系我，一開始說這是因為圖片發(fā)送失敗導(dǎo)致的模型幻覺行為，非‘串臺’或信息泄露。”張呈告訴每經(jīng)記者，后續(xù)對方又解釋稱“這是小概率事件”。

但在張呈看來，即便這是一起小概率事件，卻也會讓普通人陷入較大風(fēng)險?！癒imi是我精挑細選出來的AI大模型，但我以后不敢用了?！睆埑侍寡?，這讓他對AI產(chǎn)品的使用產(chǎn)生了極大的警惕。“20日晚我向Kimi申請會員退費，21日下午就收到了退款。今后我將不再向AI發(fā)送任何個人隱私信息?！?/p>

截至發(fā)稿，張呈告訴每經(jīng)記者，除了自稱Kimi官方員工的私人號碼數(shù)次聯(lián)系過他外，尚未收到任何Kimi官方渠道的正式溝通。

Kimi為何會在聊天中把用戶的隱私發(fā)給他人？這是單一案例還是存在更多相似異常？張呈收到的“AI出現(xiàn)了幻覺”的解釋，是否代表Kimi官方回復(fù)？后續(xù)Kimi將如何整改避免類似事件再發(fā)生？為此，每經(jīng)記者向Kimi母公司月之暗面發(fā)去采訪提綱并多次溝通，但截至發(fā)稿并未得到回復(fù)。

AI為何會“串臺”推送真人隱私？

多專家拆解泄露根源

值得注意的是，“AI幻覺”大多為杜撰，而此次大模型泄露的用戶信息全為真實，真能歸責(zé)為“幻覺”嗎？

“幻覺是‘胡說八道’，而這次是‘說對了，但不該說’?！本磥韯?chuàng)始人兼CEO（首席執(zhí)行官）、浙江大學(xué)“百人計劃”研究員韓蒙向每經(jīng)記者指出，這不屬于典型意義上的“AI幻覺”，更多屬于數(shù)據(jù)隔離失效、會話管理不當(dāng)或越權(quán)訪問等工程化鏈路上的問題。

深耕人工智能產(chǎn)業(yè)多年的技術(shù)專家徐立（化名）也向每經(jīng)記者坦言：“此事更可能涉及會話隔離、緩存復(fù)用、檢索增強生成鏈路綁定錯誤、對象存儲訪問控制失效或日志回放異常?！?/p>

在徐立看來，若返回內(nèi)容是憑空編造的虛假簡歷，可歸入幻覺；若返回內(nèi)容與另一名真實用戶上傳的簡歷高度一致，且姓名、電話等均可核驗，則更接近系統(tǒng)隔離失效。

“‘跨用戶原文串臺’不屬于高頻日常故障，但也絕非從未發(fā)生。”徐立認為，這暴露出大模型時代的隱私風(fēng)險已從傳統(tǒng)數(shù)據(jù)庫泄露延伸到推理鏈路、緩存層、檢索層、分享層和多租戶隔離層，進入“鏈路級”階段。

韓蒙指出，如果是指大模型“背誦”出“訓(xùn)練數(shù)據(jù)記憶”，這類風(fēng)險在大模型應(yīng)用領(lǐng)域并不陌生，LLM（大語言模型）應(yīng)用“輸出敏感信息”已被OWASP（開放全球應(yīng)用安全項目）列入大模型應(yīng)用的前十大風(fēng)險之一。但此類情況在成熟的企業(yè)級AI大模型產(chǎn)品中并不常見，這往往指向工程架構(gòu)或系統(tǒng)層面的疏漏，而不僅僅是大模型本身的底層算法缺陷。

每經(jīng)記者從多位資深技術(shù)專家處采訪了解到，從技術(shù)角度來看，導(dǎo)致“串臺”的可能路徑主要有以下幾類：

其一，數(shù)據(jù)隔離失效或多用戶上下文污染，導(dǎo)致A用戶請求命中B用戶殘留數(shù)據(jù)；

其二，檢索增強生成鏈路把向量庫、文件索引或召回結(jié)果綁定到其他用戶；

其三，文件解析和臨時對象存儲的訪問控制失效，造成錯誤文件被二次讀??；

其四，異步任務(wù)、消息隊列或日志回放時，任務(wù)標(biāo)識與用戶標(biāo)識錯配；

其五，分享鏈接、搜索索引或外部工具回調(diào)配置不當(dāng)，使本應(yīng)私有的數(shù)據(jù)暴露到更廣范圍。

“對企業(yè)而言，當(dāng)前最需要的不是用‘幻覺’概念壓制輿情，而是盡快發(fā)布有時間線、有影響范圍、有補救措施的正式調(diào)查說明?！毙炝⒔ㄗh道。

“AI幻覺”不能作為免責(zé)理由

律師：已構(gòu)成個人隱私泄露

“無論技術(shù)原因如何，這一事件都向公眾敲響了警鐘：用戶與AI的對話記錄確實‘有很大概率被別人看到’，這對AI服務(wù)的信任基礎(chǔ)構(gòu)成了嚴(yán)重沖擊?！辟Y深律師、中國人民大學(xué)律師學(xué)院兼職教授王光英向每經(jīng)記者表示。

王光英強調(diào)，姓名、電話等信息不僅是個人信息，還屬于敏感個人信息。在她看來，“Kimi的這一行為在法律上構(gòu)成‘個人信息處理者未經(jīng)授權(quán)向他人提供個人信息’，屬于典型的個人信息泄露，涉嫌違法違規(guī)。該行為違反了個人信息保護法、民法典、網(wǎng)絡(luò)安全法等相關(guān)法律”。

張呈于4月20日晚發(fā)起Kimi會員退款申請，次日下午收到退款  受訪者供圖

一位業(yè)內(nèi)人士也向每經(jīng)記者指出：“對公眾而言，最關(guān)鍵的點不在于產(chǎn)品是否短時異常，而在于另一名用戶提交給系統(tǒng)的私人材料，是否被無授權(quán)地返回給了無關(guān)用戶。若情況屬實，（Kimi）在技術(shù)上就已觸碰個人信息保護的底線?！?/p>

“雖然Kimi發(fā)生這一錯誤的概率很小，用戶的個人信息也并未面向所有大眾公開，但對于用戶來說，個人信息隱私保護仍然受到侵犯?！巴豕庥⑦€向每經(jīng)記者指出，“在國產(chǎn)大模型領(lǐng)域，這種將后臺本體記憶中存儲的真人信息泄露的情況，以前并未發(fā)現(xiàn)過。”

在王光英看來，“AI幻覺”在法律上不能作為免責(zé)的理由，AI不是法律主體，真正需要承擔(dān)法律責(zé)任的是提供AI服務(wù)的運營主體?！氨敬涡孤兜氖钦鎸嵉?、由用戶主動提供的個人信息，而非AI自主生成的不準(zhǔn)確內(nèi)容。數(shù)據(jù)安全保護義務(wù)是平臺的法定義務(wù)，法律有明確的標(biāo)準(zhǔn)，與技術(shù)成熟度無關(guān)。”

每經(jīng)記者查詢Kimi《用戶隱私協(xié)議》看到，其在特別聲明中提示，請謹慎上傳敏感個人信息。特別聲明還提到，如果信息無法單獨或結(jié)合其他信息識別到個人身份，則其不屬于法律意義上個人信息；如果能夠識別出個人身份，則會嚴(yán)格按照本政策處理這些信息。

那么，Kimi《用戶隱私協(xié)議》中的特別聲明能否提供免責(zé)保護？

“不能?！蓖豕庥⑻寡?，這類提示僅能提醒用戶注意自身行為，但不能免除平臺法定的數(shù)據(jù)安全保護義務(wù)，記錄并使用用戶信息的行為本身并不違法，但一旦向第三方泄露了用戶隱私，AI平臺仍需要擔(dān)責(zé)。

大模型泄露隱私頻發(fā)

AI時代如何守護個人安全

這并非Kimi首次因數(shù)據(jù)合規(guī)問題進入公眾視野。

2025年，國家網(wǎng)絡(luò)與信息安全信息通報中心曾發(fā)布通告，Kimi等35款移動應(yīng)用存在違法違規(guī)收集使用個人信息行為。

事實上，在AI浪潮之下，當(dāng)AI大模型一路高歌猛進時，大模型的數(shù)據(jù)安全與個人信息保護問題早已成為行業(yè)面臨的系統(tǒng)性挑戰(zhàn)。

2025年9月發(fā)布的國內(nèi)首個大模型安全眾測結(jié)果顯示，大模型普遍存在隱私泄露風(fēng)險，共發(fā)現(xiàn)安全漏洞281個。

徐立向記者表示，據(jù)不完全統(tǒng)計，國內(nèi)外大模型關(guān)于隱私泄露的事，大概有100多起。

例如，ChatGPT在2023年曾因緩存和連接復(fù)用缺陷，出現(xiàn)跨用戶聊天標(biāo)題可見以及少量賬單信息暴露問題；同年9月，谷歌旗下Gemini（原名Bard）的共享聊天鏈接被搜索引擎意外收錄；2025年，部分ChatGPT用戶的個人敏感對話內(nèi)容被發(fā)現(xiàn)持續(xù)泄露至搜索引擎等。

“關(guān)于個人信息和用戶隱私的泄露，現(xiàn)階段很難承諾‘技術(shù)上絕對杜絕’。”徐立坦言，原因在于，大模型服務(wù)已不是單一模型，而是一個復(fù)雜系統(tǒng)，任何細小缺陷都可能把局部問題放大成跨用戶暴露。

韓蒙向每經(jīng)記者進一步解釋，技術(shù)難點在于大模型的“黑盒特性”與內(nèi)部神經(jīng)元的復(fù)雜機制導(dǎo)致隱私信息不可見，且易被特定誘導(dǎo)輸出。同時，不同場景下的隱私保護需求并不一樣，很難用一套完全通用的方案覆蓋所有場景。

“治理需要通過外部實時審計配合模型底層的防御性遺忘學(xué)習(xí)：一方面，在模型內(nèi)部通過類似‘做手術(shù)’的方式，對不該保留的數(shù)據(jù)進行精準(zhǔn)‘擦除’；另一方面，在模型外部增加實時審計和防護，對輸入和輸出都進行把關(guān)，及時攔截違規(guī)指令、過濾敏感內(nèi)容，并對交互過程進行合規(guī)記錄和審計?！表n蒙表示。

在徐立看來，大模型時代的數(shù)字隔離，核心是把“模型能看到什么、能記住什么、能調(diào)用什么、能返回什么”分層管住，目前業(yè)界正朝基礎(chǔ)設(shè)施、應(yīng)用架構(gòu)、訓(xùn)練與推理一體治理三個方向推進，把法律規(guī)則、系統(tǒng)架構(gòu)、工程治理和默認隱私設(shè)計同時前移。

（黃宗彥、溫沐夏對本文亦有貢獻）