用户使用AI应用翻译图片却收到陌生人真实简历，以“AI幻觉”回应能否免责？

封面新闻记者 杨峰

4 月 20 日，用户张先生（化名）发帖称，他在使用人工智能应用 Kimi 翻译 PPT 目录时，意外收到了陌生人钟先生的真实简历，引发众人对 AI 泄露隐私的担忧。

事发后，有自称工作人员的人向张先生解释此次事件“是 AI 出现幻觉所致”。但多位人工智能行业人士向封面新闻记者表示，AI 幻觉或并不足以解释此次事故的成因。4 月 24 日，记者向 Kimi 母公司月之暗面发去采访提纲，截至发稿并未得到回复。该公司也未公开回应这一事件。知情人士称，该事件是一个极小概率事件，系技术引用错误所致，月之暗面公司在事发后已进行了修复。

遭泄露简历的钟先生称，目前他已委托律师维权。广东国鼎（深圳）律师事务所主任廖建勋律师向封面新闻记者表示，此次泄露的是钟先生的真实个人信息，并非 AI 虚构内容，本质上是月之暗面公司在数据隔离、会话管理等工程化链路方面存在疏漏，并非真正的“AI 幻觉”。针对此次隐私泄露事件，“AI 幻觉”不能作为月之暗面公司的免责理由。

张先生从事的是互联网广告工作，日常会高频使用多款 AI 大模型工具。他发布的多张使用截图显示，4 月 20 日 17 时，他向 Kimi 上传了一张 PPT 目录的图片，让其翻译图上仅有的三行英文。对应的中文翻译本应该为：2025 年“618”市场与平台趋势、头部玩家表现与经验、后续“双 11”的筹备规划。

张先生与Kimi App的对话过程（1）

但 Kimi 却给出了与原文无关的技术内容，称张先生上传的图片是关于减振技术。发现回复错误后，张先生在对话中尝试纠正错误，这时 Kimi 称张先生上传的图片是一份中文简历。随后，Kimi 发来了一份陌生人的个人简历，包含了姓名、电话、邮箱、求职者完整的工作经历、项目经历、核心业绩等信息，张先生对这些信息进行了交叉查证，发现并非虚构。

张先生与Kimi App的对话过程（2）

张先生与Kimi App的对话过程（3）

出于对自身隐私安全的担忧，4 月 20 日 18 时许，张先生向官方邮箱上报了这一事件，并向网信部门进行了举报。因为无法再信任这一产品，张先生也在邮件中申请了退款。

之后出于好奇，张先生拨打了简历上的电话，得到了“真人”的接听。和电话那头的钟先生核对后，两人确认，简历中所有的信息都能和“真人”对上。钟先生介绍，他在事发当天上午向 Kimi 发送了自己的简历文件，让大模型帮忙润色。

4 月 20 日晚，张先生将上述经历发布到了社交媒体上，引发关注，他表示此后，自称 Kimi 官方的人多次通过不同渠道联系他，“一开始说这是图片发送失败导致的模型幻觉行为，非‘串台’或信息泄露”。钟先生也接到了自称是 Kimi 产品经理的电话。

4 月 21 日，张先生再次接到了自称是 Kimi 官方的人电话，并和他口头表示是“发串了，将别人的回复发给了他”，张先生称，事发后他的 Kimi 年费会员已经退款，“自身已没有其他诉求”，自称是 Kimi 官方工作人员的人，多次在沟通中希望他删除发布在社交媒体上的内容，但因为 kimi 官方在事发后一直未公开发布声明承认问题并整改，他拒绝删除，“还是会想在这种时候做一下笨拙的理想主义者。”张先生说。

多位人工智能行业人士向封面新闻记者，从公开信息来看，这一事件中错发的信息是真实有效的，不属于典型意义上的“AI 幻觉”，更多属于数据隔离失效、会话管理不当或越权访问等工程化链路上的问题，具体原因需要涉事企业通过复盘事件过程来定位。如果这个事件只是个案，在事故级别上可能属于 P2 级左右的事故，如果有更多用户受到影响，则可能上升为 P1 或 P0 事故。

企查查资料显示，Kimi 母公司北京月之暗面科技有限公司（下称“月之暗面”）成立于 2023 年 3 月，同年 10 月便推出 Kimi 智能助手，凭借 20 万字超长文本输入能力迅速打开市场。技术层面，月之暗面正持续高强度迭代模型能力。Kimi 泄露钟先生简历的同日，月之暗面公司正发布并开源其最新模型 Kimi K2.6。该公司介绍，这一模型具备行业领先的代码能力、长程任务执行能力与 Agent（智能体）集群能力。

封面新闻记者注意到，Kimi 泄露简历的事件得到关注后，iOS 商店的 Kimi APP进行了两次更新，更新记录均称，“修复了一些 bug，优化了一些交互。” 知情人士称，简历泄露是一个极小概率事件，系技术引用错误所致，月之暗面公司在事发后已进行了修复。

Kimi 为何会在聊天中把用户的隐私发给他人？这是单一案例还是存在更多相似异常？这一问题是否已经修复？4 月 24 日，封面新闻记者向 Kimi 母公司月之暗面发去采访提纲，希望沟通，但截至发稿并未得到正面回复。

对于此次简历泄露事件，广东国鼎（深圳）律师事务所主任廖建勋律师向封面新闻记者表示，从民事侵权角度来说，用户钟先生向 Kimi 发送简历要求润色，双方已形成服务关系，月之暗面公司依法负有妥善保管用户个人信息的法定义务，而此次钟先生的姓名、电话等敏感个人信息被意外泄露给无关用户张先生，属于未经授权向他人提供个人信息的行为，已经违反了《个人信息保护法》《民法典》的相关规定，构成对钟先生个人信息权益和隐私权的侵权，公司需依法承担停止侵害、赔礼道歉、赔偿损失等民事责任。同时这一行为也违反了其与用户之间的服务约定，构成违约，需承担相应的违约责任。

从行政责任来看，月之暗面公司未履行个人信息安全保护的法定义务，导致用户敏感个人信息泄露，且事件发生后未主动在公开渠道发布调查处置情况，也未及时采取有效补救措施，违反了《个人信息保护法》《网络安全法》的相关要求，网信等监管部门可依法对其处以警告、罚款、责令暂停相关业务、限期整改等行政处罚，情节严重的，还可对直接负责的主管人员和其他直接责任人员处以罚款，不过此次事件未涉及个人信息非法买卖、泄露数量极大等严重情节，暂不构成刑事犯罪，无需承担刑事责任，但公司必须配合监管部门调查，及时整改隐私防护方面的安全隐患。

廖建勋律师认为，“AI 幻觉”的说辞，不能成为月之暗面公司的免责依据。一方面，典型的“AI 幻觉”是指 AI 生成虚构、杜撰的内容，而此次泄露的是钟先生的真实个人信息，并非 AI 虚构内容，本质上是公司在数据隔离、会话管理等工程化链路方面存在疏漏，并非真正的“AI 幻觉”。

另一方面，AI 不具备民事主体资格，其相关行为后果依法应由运营主体即月之暗面公司承担，数据安全保护是平台的法定义务，这一义务与技术成熟度无关，即便存在技术局限，平台也需尽到合理的安全保障义务，此次事件暴露的是公司在系统架构、隐私防护上的明显疏漏，并非不可避免的技术固有局限，不符合任何免责条件。

廖建勋律师表示，结合月之暗面公司公开的用户协议来看，其协议中并不存在针对此次隐私泄露事件的有效免责条款，协议中虽有提醒用户谨慎上传敏感个人信息的内容，但这仅为对用户的提示，不能免除公司自身法定的个人信息安全保护义务，即便用户上传了敏感信息，平台也必须妥善保管，不得未经授权泄露。协议中还明确约定公司会采取相应措施保护用户信息，承诺发生信息泄露时主动告知用户并承担法律责任，而此次事件中，该公司未履行上述承诺，反而试图以“AI 幻觉”推诿责任，这本身就违反了协议约定，其协议中关于“不承担间接、附带损失”的表述，针对的是用户自身违约或第三方原因导致的损失，不能适用于平台自身过错导致的个人信息泄露，无法作为此次事件的免责依据。

【未经授权，严禁转载！联系电话028-86968276】