AiNews
⚡ 速览 🧠 模型
← 返回首页

#privacy

包含标签 "privacy" 的文章,共 18 篇。

📰 行业资讯 V2EX

Claude疑现数据泄露 触发他人裁员信息

近日有开发者在社区反映,在使用 Claude 整理文件并执行 Git 命令时,AI 突然输出了与当前上下文无关的、涉及其他公司裁员的敏感信息。这一现象引发了对大模型隐私安全和数据隔离机制的广泛关注。该事件暴露出 AI 辅助开发工具在多租户环境下的潜在安全隐患,可能的技术原因包括大模型服务商的上下文缓存(Context Caching)机制出现越权漏洞、会话状态管理混乱,或后端向量数据库在检索时发生了跨用户的数据污染。对于开发者和 AI 创业者而言,此事件敲响了警钟。在日常开发中,应避免将包含商业机密或敏感密钥的代码库直接暴露给未做严格隔离的 AI 工具;同时,在构建 RAG 或 Agent 系统时,必须高度重视多租户隔离与数据合规性设计,防止数据越界泄露。

🛠️ 开发工具 V2EX

AI服务防封号:DOH与DNS泄漏的实践困境

在使用Claude/GPT等AI服务时,为规避账号被封禁或性能降级(“降智”)的风险,开发者普遍关注DNS泄漏问题。原文作者尝试了多种方案以保护DNS隐私。 起初,作者尝试利用`clash-verge-rev`的DNS覆写功能,但在ArchLinux环境下未能成功。随后,作者转而采用`dnscrypt-proxy`将本地DNS请求转换为DOH(DNS over HTTPS),并通过代理发送至Cloudflare等DOH服务,但此配置未启用ECS(EDNS Client Subnet)。 这种DOH配置带来新的问题:国内网站(如网易云)因缺乏ECS信息,被判定为国外请求,导致使用国外CDN,严重影响了访问速度。作者进一步探讨了`clash-verge-rev`的DNS覆写原理,即同时向国内和国外两组DOH服务器发送请求,并根据解析速度和IP归属选择结果。同时,作者也理解到服务商通常通过分配子域名并结合ECS信息及请求DNS服务器的地域来检测DNS泄漏。 核心疑问在于,如果`clash-verge-rev`同时向国内和国外DNS服务器发送请求,这种行为是否已经暴露了国内DNS请求的存在,从而无法真正避免DNS泄漏或被服务商检测?这揭示了开发者在追求隐私保护和规避AI服务限制时,在网络性能、配置复杂性与潜在信息暴露风险之间面临的实际困境。

📰 行业资讯 LINUX DO

Solos发布无摄像头智能眼镜AirGo A6,主打隐私AI体验

美国品牌Solos发布新款智能眼镜AirGo A6,主打“无摄像头”设计,旨在满足用户对AI功能的需求同时解决隐私担忧。该眼镜重19克,支持免提助手、唤醒词语音助手、语音备忘录、实时翻译、消息收发和日历等功能,配备开放式扬声器,未来将通过软件更新扩展功能。Solos还推出隐私套件,通过物理遮挡为带摄像头的眼镜提供隐私保护。其旗舰产品AirGo V2(配备1600万像素摄像头,支持2K 30FPS视频)也将全球上市,起售价299美元。对于中国开发者和AI创业者,AirGo A6展示了消费级AI硬件在隐私保护方面的市场需求和技术方向,为AI Agent和语音交互领域如何在硬件层面兼顾用户体验与数据安全提供了新的产品设计参考。

📰 行业资讯 LINUX DO

苹果 Hide My Email 漏洞曝光:泄露真实邮箱

据外媒 404 Media 和 MacRumors 报道,苹果公司的“隐藏我的电子邮件”(Hide My Email)隐私服务存在一个严重漏洞。该漏洞允许几乎任何人通过特定手段,破解并获取生成别名背后的用户真实电子邮件地址。 “隐藏我的电子邮件”是苹果 iCloud+ 的核心隐私功能,旨在让用户在注册第三方应用或网站时使用随机生成的邮箱别名,从而保护个人真实身份。然而,安全研究人员早在一年多前就向苹果报告了这一漏洞,但苹果至今仍未对其进行修复。 对于开发者和创业者而言,该漏洞的曝光意味着依赖苹果生态进行隐私保护的用户面临数据泄露风险。在开发集成 Apple ID 登录或相关服务的应用时,开发者需注意这一潜在的安全隐患,并关注苹果后续的安全更新。

📰 行业资讯 LINUX DO

苹果“隐藏邮件”功能漏洞,真实地址泄露

苹果的“隐藏我的电子邮件”功能被曝存在严重漏洞,可能导致用户的真实电子邮件地址泄露。该漏洞由研究员泰勒·墨菲发现,并经404 Media测试验证。墨菲表示,他早在一年多前就已向苹果公司报告了这一问题,但至今仍未得到修复,具体原因不明。在对志愿者进行的有限测试中,所有“隐藏我的电子邮件”地址都被证实存在此漏洞。出于对漏洞可能被恶意利用的担忧,相关技术细节尚未公开。这一发现对依赖该功能保护隐私的用户构成了重大风险,意味着攻击者有可能绕过苹果的隐私保护机制,获取用户的真实身份信息。对于开发者和AI创业者而言,这提醒了在设计和实现涉及用户隐私保护的功能时,必须进行彻底的安全审计和及时响应漏洞报告,以维护用户信任和数据安全。此事件也凸显了即使是大型科技公司也可能面临长期未修复的关键安全漏洞。

📰 行业资讯 V2EX

Anthropic合规限制引发开发者热议

近日,关于 Anthropic(Claude 开发者)主动限制中国大陆用户访问其服务的讨论在开发者社区引发热议。核心争议在于 Anthropic 限制未备案地区使用的合规性。根据中国《生成式人工智能服务管理暂行办法》,提供此类服务需取得相关行政许可,作为美国企业的 Anthropic 并未进行备案,因此其限制行为在法理上属于主动遵守当地法律的合规操作。 这一限制对国内开发者带来了直接影响,尤其是近期备受关注的终端 AI 助手 Claude Code 的使用门槛被进一步拉高。此外,讨论还涉及了数据隐私与安全问题:一方面,使用海外工具可能面临本地代码数据被用于模型训练的风险;另一方面,国内主流大模型(如智谱、DeepSeek)虽然合规,但普遍要求严格的实名认证。开发者在选择 AI 编程工具时,需在合规性、数据隐私及使用便利性之间做出权衡。

🧠 模型动态 V2EX

Anthropic Claude 被曝通过隐形代码识别中国用户

近日,有V2EX用户爆料称,Anthropic的Claude Code被发现利用隐蔽技术识别中国用户。该机制通过修改用户Prompt中的特定字符,在服务器端进行识别。 核心技术实现包括两点: 1. **单引号替换**:当系统识别为中国用户时,Prompt中的标准单引号(U+0027)会被替换为三个外观相同的Unicode字符之一。 2. **日期分隔符变更**:若检测到操作系统时区为“Asia/Shanghai”或“Asia/Urumqi”,日期格式中的连字符(-)会被替换为斜杠(/)。 这些微小的、肉眼难以察觉的修改共同构成一个2到3比特的分类标记。Anthropic服务器无需额外检测,仅通过分析这些被修改的系统提示词,即可判断请求是否来自中国大陆时区。 此发现引发了中国开发者和AI创业者对AI服务商用户识别策略的关注,揭示了部分AI服务商在用户访问控制上的“处心积虑”,并凸显了中国用户获取全球AI工具的挑战。这提示开发者需警惕潜在的数据追踪和隐私问题,并可能促使他们寻求更稳定、透明的替代方案。

📰 行业资讯 V2EX

Reddit爆料:Claude代码疑含“间谍软件”检测中国用户

近日,社交媒体平台Reddit上流传一则未经证实的爆料,声称Anthropic公司开发的AI模型Claude的代码中被嵌入了“间谍软件”(spyware)。根据该爆料,此“间谍软件”的主要功能是专门检测和识别来自中国地区的用户。这一消息迅速在开发者社区引发关注,尽管其真实性尚待Anthropic官方证实,但已触及了用户数据隐私、AI服务公平性以及地缘政治背景下技术应用等敏感议题。 对于广大的中国开发者和AI创业者而言,如果此爆料属实,将带来多重实际影响。首先,它可能严重动摇用户对Claude乃至其他AI服务提供商的数据隐私保护信任。开发者在利用AI模型构建应用时,需要确保用户数据的安全与合规性,此类指控无疑增加了潜在风险和不确定性。其次,AI工具若对特定地域用户进行区别对待或监控,将引发深远的伦理和法律争议,可能促使开发者重新评估其技术栈选择,转向更透明、更受信任的替代方案。 尽管原文未提供具体的技术实现细节,但此类用户检测通常可能涉及IP地址识别、浏览器指纹、语言设置或特定行为模式分析等多种技术手段。无论具体方法如何,其核心都指向了对用户身份和地理位置的潜在追踪。在当前全球技术竞争和数据监管日益严格的背景下,这一爆料提醒所有AI服务提供商,在提供跨国服务时,必须高度重视用户隐私保护、数据透明度以及避免任何形式的歧视性政策。同时,开发者也应保持警惕,在选择和集成第三方AI服务时,深入了解其隐私政策、数据处理流程以及潜在的地域限制,以规避不必要的风险。

🎁 羊毛福利 LINUX DO

免费临时Gmail/Outlook邮箱工具盘点

本次分享聚焦于为开发者和AI创业者提供免费的临时邮箱解决方案,特别提到了支持Gmail和Outlook地址的多个服务。原文列举了包括zemail.me、emailnator.com、tmail.io、22.do和mailticking.com在内的多个平台链接,旨在提供便捷的一次性邮箱服务。 对于开发者而言,这类临时邮箱工具具有显著的实用价值。首先,它们是进行软件测试和开发流程中不可或缺的资源。例如,在测试用户注册、邮件验证流程、API集成或模拟不同用户行为时,使用临时邮箱可以避免使用真实邮箱账户,从而保护个人隐私并减少垃圾邮件的困扰。其次,在探索新的AI服务、注册各类开发者社区或获取限时免费资源时,临时邮箱提供了一种安全且高效的注册方式,无需担心主邮箱被滥用或泄露。 此外,对于AI创业者和团队,在进行市场调研、竞品分析或快速原型验证时,可能需要注册大量服务或订阅信息。临时邮箱能够帮助团队在不暴露核心业务邮箱的情况下,快速完成这些操作,提高工作效率并降低潜在的安全风险。这些工具的共同特点是提供即时可用的、无需注册的临时邮箱地址,通常在一定时间后自动失效,非常适合短期、一次性的需求。虽然原文内容简洁,但其提供的资源列表为需要快速、安全邮箱解决方案的开发者和创业者提供了直接的便利。

🧠 模型动态 LINUX DO

谷歌Gemini AI概览过度引用个人信息引用户弃用

用户反映,谷歌的Gemini 3 Pro在上下文达到100k时会出现“智力下降”,并过度引用其个性化设置中的个人信息。近期,用户在使用手机搜索时发现,谷歌AI概览频繁直接显示其城市定位信息,即使在Gemini中关闭个性化设置也无法解决。用户对此表示强烈不满,指出AI系统持续将搜索内容与个人位置关联,甚至扯到住址,引发对隐私泄露的担忧。尽管用户猜测可能与IP地址有关,但认为AI不应如此过度引用个人数据。鉴于此,用户对谷歌AI的体验感到失望,考虑转用DuckDuckGo等替代品,并放弃谷歌的个性化搜索服务,凸显了AI个性化与用户隐私保护之间的矛盾。

🛠️ 开发工具 LINUX DO

开源工具Open Design被曝泄露用户隐私

开源工具Open Design(GitHub仓库:nexu-io/open-design)作为一款本地优先的开源Claude Design替代品,以其桌面应用、259+技能和142+设计系统(支持Web、桌面、移动原型、幻灯片、图像、视频等)以及对Claude Code、OpenClaw、Codex、Cursor、Qwen、Copilot、Kimi等17+AI CLI的支持,受到开发者关注。然而,根据对最新main分支源码的分析,该工具被发现存在严重的隐私泄露问题。 核心问题在于,Open Design在首次安装后默认开启所有遥测选项。这些遥测数据包括用户的Prompt、AI助手回复、工具输入/输出,以及用于质量回看所需的完整上下文文件。尽管项目声称在发送前会剥离密钥等敏感信息,但其首次启动时的“隐私同意”弹窗仅提供一个“I get it”按钮,缺乏拒绝选项,实际上强制用户发送其隐私数据。这意味着用户所有的AI交互记录,除了基本的API Key脱敏外,都可能被收集。 这一发现对中国开发者和AI创业者构成了潜在风险,尤其是在处理敏感代码、设计方案或商业机密时。它提醒我们在使用开源工具时,即使是“本地优先”的声明,也需警惕其默认的数据收集行为。开发者应仔细审查工具的隐私政策和源码,或考虑禁用遥测功能,以保护个人和项目的敏感信息。此事件也凸显了开源项目在透明度和用户隐私保护方面应承担的责任。

📰 行业资讯 The Verge

美FISA 702无授权监视改革陷入僵局

美国《外国情报监视法》(FISA)第702条的重新授权截止日期临近,但美国国会立法者在无授权监视改革上仍未达成共识。该条款允许情报机构在无需搜查令的情况下,收集海外非美国公民的电子通信数据,但在实际操作中经常“顺带”收集到美国公民的隐私数据,因而饱受争议。 今年4月,国会仅将该条款延长了45天,旨在为改革谈判争取时间。然而,隐私倡导组织 Demand Progress 指出,在近期的闭门谈判中,改革派代表被完全排除在外。目前争论的核心在于是否应强制要求执法部门在检索美国人数据时获取搜查令。这一法案的最终走向不仅关乎美国公民隐私,也将对科技巨头的数据合规以及全球开发者面临的跨境数据监管环境产生深远影响。

📰 行业资讯 Hacker News

费城警方承认监控批评AI的公民言论

费城警察局(PPD)近日在一份公开披露的文件中承认,他们正在追踪和监控针对AI技术持批评态度的公民活动与言论。这些活动属于美国宪法第一修正案保护的范畴,主要涉及公众对警方使用面部识别、预测性警务等AI工具的质疑与抗议。 该事件由隐私保护组织通过信息公开诉讼曝光。文件显示,警方将针对AI技术的民主监督和公开批评视为潜在的“安全威胁”,并纳入了日常的情报收集与分析流程。 这一行为引发了社会各界对警权滥用和侵犯言论自由的强烈谴责。对于AI开发者而言,该事件再次敲响了警钟,表明在公共安全和监控领域部署AI技术时,其社会伦理、合规性以及公众信任度已成为不可忽视的关键挑战。

🛠️ 开发工具 Hacker News

端侧 Chrome 插件:阻止向 LLM 泄露凭证

在与 ChatGPT、Claude 等大模型交互或粘贴代码时,开发者常因疏忽而泄露 API 密钥、密码或私钥等敏感数据。针对这一痛点,一款全新的端侧(On-device)Chrome 浏览器插件应运而生。 该插件完全在本地运行,通过实时检测用户的输入内容,自动识别并拦截潜在的敏感凭证(如 AWS 密钥、GitHub Token 等),防止其被发送至 LLM 服务商的服务器。这种本地化的安全防护机制不仅保障了数据隐私,还为企业和个人开发者提供了一道无感知的安全防线,在不牺牲 AI 辅助开发便利性的同时,有效降低了合规风险与凭证泄露隐患。

📰 行业资讯 TechCrunch

哈佛辍学生推出“全时监听”AI智能眼镜

两位曾因开发Meta Ray-Ban面部识别应用并涉嫌“人肉搜索”而引发争议的哈佛大学辍学生,正着手创立一家新公司,计划推出一款具备“全时在线”麦克风的AI智能眼镜。这款眼镜的核心卖点是能够持续监听并记录佩戴者周围的所有对话,旨在提供一种“永不离线”的AI辅助体验。然而,其“全时监听”的设计理念立即引发了严重的隐私和数据安全担忧。对于中国开发者和AI创业者而言,此事件不仅展示了AI硬件结合环境感知技术的前沿方向,也深刻警示了在AI产品设计和商业化过程中,必须将用户隐私保护和伦理规范置于核心地位。此类高度敏感的个人数据采集设备,在合规性、用户信任建立以及市场接受度方面,将面临前所未有的挑战。这促使行业在追求技术创新的同时,更应审慎思考其社会影响和责任。

📰 行业资讯 Hacker News

BFId:利用波束成形反馈的身份推理攻击

本文介绍了一种名为 BFId 的新型身份推理攻击方法,该方法利用了 Wi-Fi 协议中的波束成形反馈信息(BFI)。在现代无线通信(如 802.11ac/ax)中,AP(接入点)通过 BFI 来调整信号发射方向以优化传输。然而,研究表明,这些反馈信息中包含了与用户物理位置、身体特征及设备运动高度相关的独特模式。 攻击者无需入侵设备或破解加密流量,仅需通过被动监听无线信道中的 BFI 数据包,并结合机器学习算法,即可实现高精度的用户身份识别与追踪。这一研究揭示了现有 Wi-Fi 协议在物理层存在的严重隐私泄露风险。对于物联网开发者和安全研究人员而言,这提示我们在设计智能家居及无线安全方案时,必须关注物理层侧信道攻击,并探索如 BFI 混淆或加密等新型防御机制。

🛠️ 开发工具 V2EX

传Claude Code将调用摄像头监控程序员

近日,开发者社区 V2EX 及社交平台 X 上引发了关于 Anthropic 命令行 AI 编码工具 Claude Code 的热烈讨论。起因是有传言称,为防止用户通过程序化脚本滥用额度,Claude Code 可能会请求调用摄像头权限以确保有人在电脑前操作。该传言的背景是 Anthropic 近期调整了 Claude Code 的计费政策,限制使用订阅额度,转而强制要求按量付费(Pay-as-you-go)。尽管“摄像头监控”极大概率为社区的恶搞或误传,但这一舆论发酵反映了开发者对 AI 工具隐私边界的敏感性。同时也折射出大模型厂商在防范 API 滥用、控制高昂算力成本与保障用户体验之间面临的现实博弈。

🛠️ 开发工具 Reddit

本地AI转录PrivateScribe

PrivateScribe.ai 迎来一周年更新,这是一款完全本地运行、基于 MIT 协议开源的免费 AI 语音转录工具。其核心价值在于:1. 极致隐私:100%本地处理,专为满足 HIPAA 医疗和法律合规安全而设计;2. 开源友好:采用 MIT 许可,开发者可自由定制与私有化部署;3. 零成本:无需云端 API 费用,适合处理敏感语音数据的企业与开发者。