(网经社讯)4月20日下午,用户张呈在使用Kimi大模型翻译一张英文PPT目录图片时,未输入任何关于简历的指令,却在多轮对话后收到一份包含姓名、电话、邮箱、详细工作经历及核心业绩的陌生人完整简历。据网经社AI台(AI.100EC.CN)获悉,当事人钟先生确认信息属实,表示已委托律师处理。张呈向Kimi官方及国家网信办反馈后,于当晚将事件发布至社交媒体,引发广泛关注。
自称Kimi工作人员者通过非官方渠道联系张呈,起初解释为“图片发送失败导致的模型幻觉”,后改口称属“小概率事件”或“发串了”。截至4月23日,Kimi母公司月之暗面未向媒体作出正式回应,未发布调查说明或整改措施。
多位技术专家指出,此次泄露超出“AI幻觉”范畴,更可能源于多用户上下文污染、检索增强生成链路绑定失误、访问控制失效、异步任务标识与用户标识错配等工程化问题。律师表示,Kimi向无关用户返回他人真实个人信息已构成《个人信息保护法》所禁止的“未经授权向他人提供个人信息”行为,AI幻觉不能作为免责理由。
此前2025年,国家网络与信息安全信息通报中心曾通报Kimi等35款应用存在违法违规收集使用个人信息行为。此次事件再度凸显大模型在多租户数据隔离方向需要系统治理。
.png)
.png)
.png)
.png)
.png)
