Sears客户聊天记录及语音文件遭公开泄露 370万条数据暴露个人隐私
美国零售品牌Sears的家用电器维修服务部门Sears Home Services所使用的AI聊天机器人Samantha的聊天记录和语音通话文件被发现公开暴露于互联网。安全研究员Jeremiah Fowler在2026年2月初发现三个未受保护的数据库,包含370万条聊天日志、140万份音频文件及文本转录,时间跨度为2024年至2026年。
数据中包含客户姓名、电话、住址、家电信息及维修预约详情,部分录音长达数小时,记录了客户通话结束后仍在进行的私人对话。Fowler已向Sears母公司Transformco通报,数据库已获修复,但暴露时长及是否被第三方访问尚不明确。
Fowler表示,这些数据对网络钓鱼攻击极具价值,因包含客户联系方式及家庭生活细节,可被用于保修诈骗等定向攻击。他强调,企业部署AI虽可节省成本,但绝不能在数据保护上“走捷径”,至少应加密并设置访问密码。
部分音频文件显示,客户在与AI对话中多次要求转接人工客服,但机器人仍坚持自动处理。有文本记录显示,客户连续28次重复“我的技术人员在哪里?”,后因不满回复而反复称“你是个电脑”。
该事件发生在企业加速部署生成式AI的背景下,凸显了AI客服在隐私、信任与声誉方面的风险。牛津大学副教授Carissa Véliz指出,尽管人们可能觉得与机器交谈更安全,但往往别无选择,企业应提供与人工客服对话及不录音的选项,以增强客户信任。
Sears Home Services自称是美国最大家电维修服务商,年维修量超700万次,其AI技术名为kAIros。Transformco未回应WIRED的多次采访请求。
编辑点评
此次Sears数据泄露事件凸显了企业在快速推进AI客服系统时面临的核心挑战:技术效率与隐私安全之间的平衡。尽管AI可降低运营成本,但暴露370万条客户数据,包括长达数小时的私密通话录音,暴露出企业在数据存储安全上的严重疏忽。此类事件不仅损害企业声誉,更可能被不法分子用于精准诈骗,尤其当数据包含家电信息、住址和通话内容时,攻击者可轻易构建可信的钓鱼场景。
从全球科技治理角度看,该事件呼应了近年来AI伦理与数据保护的国际讨论,特别是在欧盟GDPR和美国加州隐私法等法规背景下,企业对用户数据的处理责任日益明确。Sears作为传统品牌,其数字化转型中的安全短板,反映出许多传统企业在技术升级过程中的“重功能、轻合规”倾向。
未来,此类事件或推动监管机构加强对AI客服系统的合规审查,尤其是在数据存储、访问控制及用户知情权方面。企业必须在AI部署中纳入隐私设计(Privacy by Design)原则,同时提供人工客服选择与录音控制选项,否则将面临法律诉讼与消费者信任流失的双重风险。