西尔斯AI聊天机器人通话聊天记录全网公开，个人信息成诈骗靶子

事件曝光：西尔斯AI聊天记录全网可访问

据WIRED报道，美国老牌零售商西尔斯（Sears）近日曝出严重安全漏洞：其AI聊天机器人的客户电话通话和文本聊天记录，竟被完全暴露在公共网络上。任何上网用户只需简单搜索或访问特定链接，即可浏览这些敏感对话。事件于2026年3月17日被安全研究人员发现，并迅速引发关注。

这些聊天记录并非匿名数据，而是包含大量客户个人信息：电话号码、家庭地址、购物偏好，甚至信用卡相关线索。WIRED记者Lily Hay Newman和Matt Burgess在调查中指出，一名研究人员仅用几分钟就找到了数百条对话，其中不乏详细的客户服务互动。

Customer conversations with chatbots can include contact information and personal details that make it easier for scammers to launch phishing attacks and commit fraud.

西尔斯官方尚未正式回应，但据称该漏洞源于其客服系统的配置错误，导致聊天数据未正确加密或限制访问权限。

AI聊天机器人在零售业的兴起与隐患

回顾AI聊天机器人的发展，自2010年代中期以来，它们已成为零售业客服的核心工具。西尔斯作为美国历史悠久的百货公司，曾在数字化转型中大力引入AI，以降低人力成本并提升响应速度。根据Gartner数据，2025年全球超过70%的零售企业使用AI客服系统，如基于GPT模型的对话代理，能处理从订单查询到退货处理的复杂交互。

然而，这种便利性伴随巨大风险。聊天机器人往往记录用户输入的实时数据，包括语音转文本的通话内容。这些数据若未妥善隔离，便易遭黑客或好奇者窃取。类似事件并非孤例：2023年，亚马逊Alexa设备数据泄露事件暴露了数百万用户语音记录；2024年，ChatGPT插件漏洞导致用户API密钥外泄。

在西尔斯案例中，暴露的数据特别危险。诈骗分子可利用电话号码发起精准的语音钓鱼（vishing），或结合地址信息伪造快递诈骗。FBI数据显示，2025年AI辅助诈骗案件同比增长150%，其中客服数据泄露是主要来源。

技术剖析：漏洞成因与防范之道

从技术角度，该漏洞很可能源于云服务配置失误。西尔斯可能使用第三方平台如Twilio或Dialogflow托管聊天服务，这些平台默认提供日志访问接口。若未设置访问控制列表（ACL）或API密钥验证，数据即成公开资源。

本文由 赢政天下编译整理，原文来自海外媒体 - Winzheng.com。

专家建议，企业应采用以下措施：
1. 数据加密：所有聊天记录采用端到端加密（E2EE）。
2. 访问隔离：实施零信任架构，仅授权IP可访问日志。
3. 定期审计：使用工具如AWS CloudTrail监控异常访问。
4. 合规审查：遵守CCPA和GDPR，确保数据最小化收集。

此外，AI模型本身需优化隐私。例如，联邦学习（Federated Learning）允许模型在本地训练，避免数据上行。

编者按：AI隐私危机，企业责任待唤醒

作为AI科技新闻编辑，我认为西尔斯事件是冰山一角。它揭示了AI客服从‘效率优先’向‘隐私优先’转型的紧迫性。零售巨头们沉迷于AI降本增效，却忽略了数据如‘新石油’的双刃剑属性。一旦泄露，不仅损害品牌声誉，还可能引发集体诉讼——参考2024年Meta数据丑闻，赔偿超10亿美元。

展望未来，监管将趋严。欧盟AI法案已将高风险AI系统（如客服机器人）列为重点审查对象。美国FTC也计划推出AI隐私指南。企业若不主动合规，将付出更高代价。同时，用户应警惕：与AI互动时，避免透露过多个人信息，使用虚拟号码等工具自保。

此事件也为中国企业敲响警钟。阿里、京东等电商平台广泛部署AI客服，类似漏洞若发生，后果不堪设想。建议参考国家《网络安全法》，加强数据本地化存储。

行业影响与展望

西尔斯股价已受事件拖累，下跌3%。更广泛而言，它可能加速AI客服监管浪潮。OpenAI和Google等巨头正推动‘隐私增强AI’标准，如差分隐私技术，能在保护个体数据前提下训练模型。

最终，技术进步不应以牺牲用户权益为代价。西尔斯事件提醒我们：AI时代，安全即竞争力。

本文编译自WIRED，作者：Lily Hay Newman, Matt Burgess，原文日期：2026-03-17。