日前有網(wǎng)友發(fā)現(xiàn)沉浸式翻譯擴(kuò)展程序的部分用戶數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，這些數(shù)據(jù)包含部分敏感內(nèi)容例如加密貨幣錢包私鑰甚至是企業(yè) / 機(jī)構(gòu)的商業(yè)合同等。

嚴(yán)格來說此次問題并非安全漏洞而是沉浸式翻譯提供的功能存在缺陷，即沒有對(duì)快照鏈接進(jìn)行保護(hù)導(dǎo)致搜索引擎爬蟲可以直接抓取內(nèi)容并將其防止互聯(lián)網(wǎng)上公開索引。

注：以上索引鏈接已經(jīng)無法訪問，但泄露的數(shù)據(jù)庫仍然可以提取數(shù)據(jù)

事件發(fā)生原因：

對(duì)于沉浸式翻譯用戶，該擴(kuò)展程序提供將翻譯后的網(wǎng)頁或 PDF 文件生成快照，生成快照后同時(shí)還會(huì)生成共享鏈接用于將鏈接分享給其他用戶。

沉浸式翻譯顯然也高估了用戶的專業(yè)程度，部分用戶使用沉浸式翻譯對(duì)敏感內(nèi)容進(jìn)行翻譯并且還生成快照，這里面就存在兩種安全方面的問題。

第一是除了本地翻譯模型外，使用任何第三方模型時(shí)都需要將數(shù)據(jù)發(fā)送給第三方進(jìn)行翻譯，因此敏感內(nèi)容使用沉浸式翻譯或者其他翻譯服務(wù)都可能導(dǎo)致數(shù)據(jù)泄露，尤其是使用 AI 翻譯時(shí)數(shù)據(jù)可能會(huì)被 AI 模型提供商拿去訓(xùn)練數(shù)據(jù)，這將嚴(yán)重危害用戶的數(shù)據(jù)安全。

第二是沉浸式翻譯提供的快照功能會(huì)直接將翻譯后的內(nèi)容暴露在互聯(lián)網(wǎng)上，以商業(yè)合同為例，合同內(nèi)可能包含大量的商業(yè)機(jī)密，用戶使用沉浸式翻譯搭配 AI 服務(wù)時(shí)不僅會(huì)將商業(yè)機(jī)密泄露給 AI 模型提供商，還會(huì)導(dǎo)致完整的商業(yè)合同直接暴露到互聯(lián)網(wǎng)上。

沉浸式翻譯的問題在哪：

沉浸式翻譯提供的快照功能存在缺陷，即沒有做好必要的安全措施對(duì)內(nèi)容進(jìn)行保護(hù)，導(dǎo)致搜索引擎可以直接抓取內(nèi)容以至于引起大量的用戶數(shù)據(jù)泄露。

同時(shí)沉浸式翻譯沒有做好必要的提醒，提醒用戶對(duì)于敏感內(nèi)容不要生成快照以免出現(xiàn)數(shù)據(jù)泄露，這個(gè)問題其實(shí)和 OpenAI 早前在 ChatGPT 里增加對(duì)話共享的搜索引擎抓取本質(zhì)是相同的問題。

未來沉浸式翻譯或許可以考慮參考諸如百度網(wǎng)盤等強(qiáng)制分享時(shí)設(shè)置密碼，只有同時(shí)拿到鏈接和密碼的用戶才能訪問內(nèi)容，這樣既可以避免搜索引擎抓取，也可以避免其他專業(yè)的機(jī)器人進(jìn)行抓取。

數(shù)據(jù)已經(jīng)在網(wǎng)上流傳：

另外需要強(qiáng)調(diào)的是目前網(wǎng)上已經(jīng)流傳名為 readit.site.tar.zst 的 559.6MB 文件，這份文件里包含的全部是沉浸式翻譯 readit.plus 里生成的快照，其中包含大量的敏感內(nèi)容。

對(duì)于曾經(jīng)使用過沉浸式翻譯快照功能的用戶建議仔細(xì)想想自己是否使用過快照功能以及是否存在數(shù)據(jù)泄露的可能性，目前沒有徹底的補(bǔ)救方法，數(shù)據(jù)一旦公布到互聯(lián)網(wǎng)上就不可能被永久清除。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/