擁有30億人臉資料庫的AI公司被駭！擁有資料量超越美國聯邦政府，客戶包含美國移民局、司法部、FBI

上週四，人工智慧初創公司 Clearview AI 被駭，平台上超過2000家客戶數據暴露在駭客的野心下，其中不乏美國移民局、司法部、FBI等重要執法機構。Clearview AI 的資料庫中涵蓋了約30億張人臉數據，可以僅靠一張臉部照片，就檢索出全網所有的相關圖片，包括照片的地址鏈接。

👉 歡迎加入T客邦telegram  ( https://t.me/TechbangNEWS )

2 月 27 日 Clearview AI 向美國福克斯新聞網證實，公司所有的客戶列表、帳戶數量以及客戶進行的相關搜索數據遭遇了未經授權的入侵。隔了一天，Clearview AI 律師 Tor Ekeland 表示，公司的系統跟網路並沒有受到破壞，目前已修復了相關漏洞，並保證類似事件不會再次發生。根據 Clearview AI 聲明，駭客入侵者獲得了未經授權的客戶訪問列表，其客戶包括美國執法機構。

目前，蘋果已禁用 Clearview AI 的開發者帳戶與其 iOS 應用程式，稱其違反了企業開發者協議的條款。

根據 BuzzFeed 披露，Clearview AI 的臉部辨識客戶包括了美國移民局、司法部、銀行，FBI，ICE，梅西百貨，沃爾瑪、NBA、阿拉伯的主權財富基金等 2228 多家機構和公司；此外還有更多的私人公司正在透過 30 天免費試用來測試該技術。

這其中至少有 600 家美國執法機構使用了 Clearview AI 最新的臉部辨識系統，數據涵蓋了 Facebook、Instagram、Twitter 和 YouTube 等社群媒體平台上抓取的超過 30 億張照片，來建立自家的資料庫資源。

Clearview AI 所擁有的數據量級已遠遠超過了美國聯邦政府或者任何一家矽谷巨頭的數據體量，即使像 FBI 這樣的機構，其資料庫也僅僅是收集了4.11 億張照片。

▲ 圖片來源：紐約時報

單從應用的層面來看，Clearview AI 所具有的能力與服務潛力非常巨大。如抗議遊行、暴動中個別激進分子的身份辨識，尋找街上偶遇到的心儀對象等，不僅可以搜出他們的名字，甚至還能知道住所、工作單位和社群關係網路！

用在執法單位則有點恐怖，像是只需一張照片就能從 30 億張圖像中鎖定你的姓名、聯繫方式和家庭住址，Clearview AI 基於自身的臉部辨識系統和資料庫協助 FBI 在內的數百家美國執法機構用臉部辨識技術抓捕罪犯。

早有前科

2020 年剛剛過去兩個月，這家創辦了四年的公司就上了兩次熱搜。一次是 1 月份因侵犯隱私權引發爭議，另一次就是此次數據被黑引發了極大的關注。

今年 1 月，Clearview AI 因隨意抓取網上照片引發爭議。據《紐約時報》當時的調查顯示，Clearview AI 允許執法機構使用其辨識技術將未知面孔的照片與人們的線上圖像進行匹配，進而搜尋潛在罪犯。隨即，Twitter 向 Clearview AI 發出了一封勒令停止通知函。

僅靠一張臉部照片，Clearview AI就可以檢索出全網所有的相關圖片，包括照片的地址鏈接。但是，關於更細節的像是個人訊息，諸如姓名、聯繫方式和家庭住址，Clearview AI還沒有向公眾開放。

2 月 5 日，YouTube 向 Clearview AI 發出了一封勒令停止通知函，要求這家公司停止從其影片中收集人臉，並刪除已經收集的數據。2 月 7，Facebook 向人臉辨識公司 Clearview AI 發出了一封勒令停止通知函，要求其停止從 Facebook 和 Instagram 上獲取數據。

Clearview AI 的做法違反了數據科技公司的服務條款，在這些公司不知情的情況下獲取了使用者數據，因此得罪了一干科技巨頭。

兩個月的時間裡，Clearview AI 已收到來自微軟、Google、YouTube、Venmo、LinkedIn 和 Twitter 的停止與禁止公函。還將面臨 500 萬美元的集體訴訟索賠。

600多家執法機構都在用，他們的技術有何特殊？

月初，Clearview AI 創辦人兼首席執行長 Hoan Ton-That 在接受採訪時並沒有表現出太多對其技術的擔憂。

他想以「最好的意圖建立一家偉大的美國公司」，並表示不會將產品出售給伊朗、俄羅斯或中國。Hoan Ton-That 認為這項技術正在挽救孩子，解決犯罪問題。

▲ Clearview AI首席執行長Hoan Ton接受CBS採訪，圖源 | CBS影片截圖

👉 歡迎加入T客邦telegram  ( https://t.me/TechbangNEWS )

這位越南裔澳洲人三次創業、自學 AI，想建立一家「偉大的美國公司」。

2016 年，Hoan Ton-That 和 60 多歲、時任紐約市市長 Rudolph W.Giuliani 助手的 Richard Schwartz 合作，著手研究臉部辨識工具，這就是 Clearview AI 雛形。

2019 年，Clearview AI 開始向美國的執法機構推廣其服務，借助 30 天免費試用鼓勵警察購買。

2019 年 2 月，印第安納州警察局對 Clearview AI 的應用工具進行測試，僅用 20 分鐘就透過圍觀群眾拍攝的影片找到了犯罪嫌疑人的社群網站，解決了這起打架鬥毆事件。

2019 年底，Clearview AI 爆火，被私家偵探廣泛使用。紐澤西州克利夫頓的一名偵探甚至在郵件中敦促老闆購買這款軟體，因為它「能夠在幾秒鐘內辨識出嫌疑人」。

Clearview 資料庫的規模讓執法部門使用的其他資料庫相形見絀，據《紐約時報》，Clearview AI 的應用已被包括聯邦調查局和美國國土安全局在內的 600 多家執法機構使用，包括加拿大皇家騎警在內的一些執法部門也在使用，該公司聲稱其技術在辨識個人身份方面的準確率達到 99.6%。

目前，Clearview AI 已經滲透到聯邦政府的多個部門。美國司法部的多個部門在使用 Clearview AI 的產品，政府組織名單中包括美國特勤局的多個辦公室（搜索次數約為 5600 個），禁毒署（約 2000 次搜尋）；酒、煙、火器和炸藥局（搜索超過 2100）和 FBI（至少 20 個不同的總部外辦事處進行了 5700 次搜索）。目前，這些機構的發言人對此事要麼拒絕置評，要麼未回應置評請求。

執法部門認可、私家偵探力薦，成為「爆款」之後的 Clearview AI 也招致了數據黑色產業鏈的關注，這一過程花了不到半年的時間，轟然變天的速度出乎意料。

 越紅越危險，大數據的黑色產業鏈

據瞭解，Clearview AI 所具有的能力與服務潛力非常巨大。如抗議遊行、暴動中個別激進分子的身份辨識，人肉路上遇到的心儀對象等。一張照片不僅可以搜出他們的名字，甚至還能知道住所、工作單位和社群關係網路。

Clearview AI 擁有 30 億人臉數據，一旦數據隱私洩露將帶來無法估量的損失。事實上，層出不窮的數據洩露事件對個人、企業、社會的都是一種巨大的威脅。

在我國，僅 2017 年在黑市上被洩露的個人訊息就高達 65 億條次，由數據洩露而衍生出來的黑灰色產業鏈年獲利已超百億元。買賣公民個人隱私數據為小貸公司的「套路貸」犯罪、暴力催收大開方便之門。

2018 年 3 月曝光的 Facebook 數據洩露事件中，有 5000 萬使用者的個人資料，一直被用作向其精準投放政治廣告的重要參考，而這些人佔據著美國選民人數的四分之一。同年，萬豪發佈公告稱旗下酒店喜達屋 5 億房客訊息被洩露；社群平台陌陌的 3000 萬使用者數據在暗網被銷售；問答網站鼻祖 Quora 的 1 億使用者數據被竊……

2019 年 2 月，國內專注於安防領域的人工智慧企業深網視界超過 250 萬人的數據被非法獲取，680 萬條數據疑似洩露，包括身份證訊息、人臉辨識圖像及圖像拍攝地點等。

2019 年 5 月，一名自稱 GnosticPlayers 的駭客聲稱竊取了澳洲網站 Canva 的 1.39 億使用者數據，包括使用者姓名、使用者名、電子郵件地址、城市國家訊息。

2019 年 9 月，17 萬條「人臉數據」在國內的網上被公開兜售，涵蓋 2000 人的肖像，每個人約有 50 到 100 張照片，每張照片還搭配有一份數據文件，除了人臉位置的訊息外，還有人臉的 106 處關鍵點，如眼睛、耳朵、鼻子、嘴、眉毛等的輪廓訊息等。數據中還能提供人物性別、表情情緒、顏值、是否戴眼鏡等訊息。

2019 年 12 月 4 日，一個包括 27 億個電子郵件地址的 Elasticsearch 資料庫洩露，其中 10 億個密碼都是以簡單的明文儲存。據悉，大多數被盜郵件域名來自中國郵件提供商，涵蓋騰訊、新浪、搜狐和網易等。

動輒億級，數據內容極其詳細，此類觸目驚心的數據隱私洩露事件一直在發生。

據統計，在所有的數據洩露事件中，科技行業因其訊息化、數位化程度最高，顆粒度更細、價值更大，發生的數據洩露事件最多，佔比為 37%。其次分別是政府機構、金融和醫療機構。

對於任何規模的公司來說，網路安全都不是小事，受眾多執法部門青睞的 AI 公司更是如此。 

合法獲取數據將成為行業大勢

Clearview AI 此次數據的洩露，將數據風險和數據隱私的討論再次推上風口浪尖。長期以來，數據面臨著三種風險：駭客攻擊、明文儲存使得數據可以輕易被覆制、越權訪問帶來數據洩露問題。

對於侵犯使用者隱私權，Clearview AI 聲稱擁有對公共訊息的美國憲法第一修正案權利，並將其做法與 Google.com 搜尋引擎進行參照比較，但這一說法並沒有得到廣泛「買帳」。

據路透社報導，加拿大當局正在對 Clearview AI 進行調查判斷其是否違反使用者隱私法。在美國伊利諾伊州，Clearview AI 被訴訟指控侵犯了州居民的隱私權。紐澤西州這樣的部分美國地區甚至還頒布了州禁令，禁止執法機構使用 Clearview AI 的應用工具服務。

技術用於執法、維護社會正常秩序自然是好的，但一旦被黑產盯上後果便不堪設想。涉及使用者隱私的問題需要企業自身強化數據管理、保護數據隱私，同時，法律法規的頒佈施行也有利於遏制數據洩露的頻頻發生。

目前，我國「兩高」司法已經對公民隱私數據問題有瞭解釋：洩露使用者通信內容五百條即可入罪。等級保護法以及有公民隱私數據的企業必須過等保安檢的規定也對公民數據隱私問題有了法律層面的保護。

數據有價值，管理、技術有漏洞，數據就會有洩露的可能。目前侵犯使用者隱私的行為受到越來越多的詬病，合法合規的獲取數據也將成為行業大勢，同時，日後更加完善的法律法規也有利於遏制數據洩露的頻頻發生。

👉 歡迎加入T客邦telegram  ( https://t.me/TechbangNEWS )

• 本文授權轉載自：36kr（36氪）