近日,有网友响应AI网页翻译插件“千里浸式翻译”存在秘密泄漏风险,若用户操纵该插件将翻译后的网页或文献生因素享麇集,翻译成果将存储在可公开访谒的网站上,导致营业协议、保障纪录等敏锐现实可能被搜索引擎持取、在互联网上公开。当今,“千里浸式翻译”已将该功能下线,但此前泄漏的翻译成果数据仍在互联网斯文传。
翻译成果生成快照
泄漏巨额敏锐现实
据了解,“千里浸式翻译”由上海一轨同风汇集科技有限公司研发,是一款提供网页及文档翻译功能的浏览器插件,通过调用ChatGPT、DeepSeek、Gemini等多款AI大模子,为用户提供视频字幕、文档、网页等的双语对照翻译成果。该插件自2022年10月起接续在Edge、Chrome、Safari等多款主流浏览器的彭胀商店上架,曾入选Chrome 2024年度最好彭胀要领,当今仅Edge浏览器上用户量已超300万。
8月初,接续有网友在酬酢平台响应“千里浸式翻译”提供的翻译成果快照共享功能存在谬误。具体而言,用户使用该插件翻译网页或文献后,可生成一个快照麇集,并将该麇集共享给其他用户,但“千里浸式翻译”莫得为快照麇集部署反爬虫、密码保护等安全步调,导致巨额翻译成果可被搜索引擎等级三方径直持取现实并生成索引,进而袒露在互联网上。其中包括巨额营业协议、里面文档、个东说念主信息等敏锐现实。
8月9日,“千里浸式翻译”通过酬酢平台回答该事件,暗示“有少数用户在使用该功能时,失慎共享了可能包含个东说念主信息的页面,且未实时在个东说念主中心删除。为幸免潜在的秘密风险,咱们决定暂时下线此功能,况且在开导完善的秘密保护机制之前不会重新上线”。文中还强调“这并不波及任何翻译现实或后台用户数据的泄漏,因为唯有用户在主动使用双语网页共享功能时,才会生成对外可访谒的麇集”。
“千里浸式翻译”回答秘密泄漏事件,下线涉事功能。
南齐商榷员钟情到,当今涉嫌泄漏用户数据的网页快照麇集均已无法访谒,但部分搜索引擎仍留存相干索引,教唆不少用户操纵该插件翻译过的营业协议、保障纪录、签证肯求等敏锐现实曾被收录,存在秘密泄漏风险。在酬酢平台上,有网友响应已有部分快照现实被持取、打包和传播,其中可能波及不少敏锐个东说念主信息。
部分搜索引擎留存的索引骄横,不少用户操纵该插件翻译过的营业协议、保障纪录、签证肯求等敏锐现实曾被收录,存在秘密泄漏风险。
翻译敏锐现实应正式
奇迹方应作念好安全顾惜
有汇集安全各人以为,这次事件严格来说并非数据安全弱点,而是功能自己存在谬误。一是奇迹提供方莫得对翻译成果进行必要的安全保护,导致其径直袒露在互联网上。二是奇迹提供方莫得对用户作念必要的数据安全提醒,敏锐现实不应裁减生成网页快照,以免出现数据泄漏。
公开府上骄横,在线翻译奇迹导致数据泄漏已有前例。2017年,原挪威国度石油公司(Statoil)因在业务交游中使用一款免费在线翻译器用,导致巨额营业协议、东说念主事纪录等敏锐现实上传到云表后被搜索引擎持取,形成数据泄漏。
各人提醒,除了腹地部署的翻译模子外,任何翻译奇迹齐需要将数据上传到云表进行翻译,用户应该仔细阅读相干使用条件,尽可能侧目数据安全风险,尤其是翻译营业协议、包含个东说念主信息的文档等敏锐现实时应该慎之又慎。关于依然使用过此类快照功能的用户,薄情仔细回忆是否共享过包含敏锐个东说念主信息的翻译成果,并经受如修改密码、暂时冻结高风险账户等相对应的挽回步调。
对奇迹提供方而言,此类共享功能大略不错参考诸如网盘文献共享的规画,强制用户共享时树立密码和灵验期开云体育,唯有同期拿到麇集和密码的用户才智访谒现实,幸免翻译成果泄漏给无关东说念主士。