沉浸式翻譯(Immersive Translate)是一款跨平台的 瀏覽器與行動裝置翻譯工具,主要特色是能在保留原文排版的情況下,直接將外語內容與翻譯結果並排顯示,讓使用者在閱讀時同時參考原文與譯文。
不過,「沉浸式翻譯」近日被揭發存在嚴重安全漏洞,部分使用者生成的翻譯快照竟可被搜尋引擎直接索引,導致包含商業機密在內的大量敏感資料外洩到網路上,且目前幾乎無法完全移除。
快照功能成資料外洩來源
沉浸式翻譯提供將翻譯後的網頁或 PDF 生成「快照」並產生分享連結的功能,原意是方便用戶將翻譯結果傳給他人。然而,資安專家發現該功能缺乏必要的存取限制與保護措施,導致生成的快照能被搜尋引擎抓取。
以商業合同為例,一旦用戶透過沉浸式翻譯搭配 AI 翻譯服務處理,內容除了可能被 AI 模型供應商存取外,還可能因快照公開導致完整合同檔案被任何人下載查看。
兩大安全隱患
報導指出,這次事件暴露了兩層風險:
-
第三方翻譯模型資料外流──除了本地模型外,其他雲端或 AI 翻譯服務都需將資料傳送至供應商伺服器,敏感資訊可能被用作模型訓練。
-
快照無防護公開──快照連結無密碼、不限存取,且可被搜尋引擎收錄,讓外部人員輕易存取資料。
沉浸式翻譯並未在使用快照功能時清楚提醒用戶「敏感內容勿生成快照」,導致許多非技術背景的使用者誤以為內容只會私下分享。類似的問題,先前在 OpenAI 的 ChatGPT「對話分享」功能中也曾發生過。
事發之後,開發團隊發布了道歉聲明,並暫停了該快照分享功能以進行修復。不過,目前暗網上已出現名為 readit.site.tar.zst 的 559.6MB 檔案,內含大量沉浸式翻譯 readit.plus 服務生成的快照,其中不少是包含個資與商業情報的敏感內容。資安專家提醒,曾使用過該快照功能的用戶應評估自身資料外洩風險,並採取必要應對措施。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!