江苏
关键词
数据泄露
有网友发现,沉浸式翻译扩展程序的部分用户生成快照数据被搜索引擎直接索引并公开在互联网上,其中包含加密货币钱包私钥、企业和机构的商业合同等高度敏感内容。尽管此次事件并非传统意义上的软件安全漏洞,但却源于沉浸式翻译的快照分享功能缺乏必要保护,导致快照链接被搜索引擎爬虫抓取并收录,从而引发大规模数据泄露。
沉浸式翻译为用户提供了将翻译后的网页或 PDF 生成快照的功能,并生成可供分享的链接。然而,该功能既未设置访问控制,也未提醒用户敏感内容不宜生成快照,导致部分用户在翻译高度机密文档时将结果直接暴露到互联网上。对于使用第三方翻译模型的用户而言,这种风险更为放大——敏感数据不仅会被传输给第三方服务,甚至可能被用作 AI 模型的训练数据,一旦外泄将造成严重的商业与个人隐私损失。
调查显示,沉浸式翻译在快照功能的实现上未采取密码访问或访问令牌等安全机制,造成搜索引擎及自动化抓取工具可以直接获取内容。这一问题与此前 OpenAI 在 ChatGPT 对话共享功能上被搜索引擎抓取的情况高度相似。安全专家建议,快照分享功能应参考百度网盘等平台的做法,强制设置访问密码,确保仅有获取链接和密码的用户才能访问。
更令人担忧的是,互联网上已出现名为“readit.site.tar.zst”的 559.6MB 压缩文件在传播,其中包含大量来自沉浸式翻译 readit.plus 平台的用户快照数据。由于互联网的不可逆传播特性,这些数据一旦泄露将无法彻底清除。曾使用快照功能的用户被建议回顾自己是否可能涉及敏感信息,并尽快采取应对措施。
沉浸式翻译最初是一个开源的双语对照翻译扩展程序,于 2023 年 11 月被收购后转向闭源开发,并停止原有开源项目的更新。近期,该软件在用户政策上也引发争议。就在快照泄露事件曝光的前一天,沉浸式翻译发布公告称,将禁止用户使用未经认证的第三方 API 接口,理由是部分 API 来源存在黑卡支付等欺诈风险,可能导致接口失效。然而,这一做法被大量用户批评为过度干预,并非翻译工具应有的职责。
在遭遇舆论强烈反对后,沉浸式翻译于当晚紧急删除相关公告,并发布新声明,撤回限制第三方 API 的计划,承诺未来不会对用户可使用的翻译服务施加限制。至此,这场因政策调整引发的争议暂时告一段落,但快照泄露事件仍在持续发酵,暴露出的安全隐患和用户隐私保护问题,仍值得各类在线工具服务商警惕与反思。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
