AI工具“沉浸式翻译”被曝泄露隐私，用户保单、合同遭公开

近日，有网友反映AI网页翻译插件“沉浸式翻译”存在隐私泄露风险，若用户利用该插件将翻译后的网页或文件生成分享链接，翻译结果将存储在可公开访问的网站上，导致商业合同、保险记录等敏感内容可能被搜索引擎抓取、在互联网上公开。目前，“沉浸式翻译”已将该功能下线，但此前泄露的翻译结果数据仍在互联网上流传。

翻译结果生成快照泄露大量敏感内容

据了解，“沉浸式翻译”由上海书同文网络科技有限公司研发，是一款提供网页及文档翻译功能的浏览器插件，通过调用ChatGPT、DeepSeek、Gemini等多款AI大模型，为用户提供视频字幕、文档、网页等的双语对照翻译结果。该插件自2022年10月起陆续在Edge、Chrome、Safari等多款主流浏览器的扩展商店上架，曾入选Chrome 2024年度最佳扩展程序，目前仅Edge浏览器上用户量已超300万。

8月初，陆续有网友在社交平台反映“沉浸式翻译”提供的翻译结果快照分享功能存在缺陷。具体而言，用户使用该插件翻译网页或文件后，可生成一个快照链接，并将该链接分享给其他用户，但“沉浸式翻译”没有为快照链接部署反爬虫、密码保护等安全措施，导致大量翻译结果可被搜索引擎等第三方直接抓取内容并生成索引，进而暴露在互联网上。其中包括大量商业合同、内部文档、个人信息等敏感内容。

8月9日，“沉浸式翻译”通过社交平台回应该事件，表示“有少数用户在使用该功能时，不慎分享了可能包含个人信息的页面，且未及时在个人中心删除。为避免潜在的隐私风险，我们决定暂时下线此功能，并且在建立完善的隐私保护机制之前不会重新上线”。文中还强调“这并不涉及任何翻译内容或后台用户数据的泄露，因为只有用户在主动使用双语网页分享功能时，才会生成对外可访问的链接”。

“沉浸式翻译”回应隐私泄露事件，下线涉事功能。

南都研究员留意到，目前涉嫌泄露用户数据的网页快照链接均已无法访问，但部分搜索引擎仍留存相关索引，提示不少用户利用该插件翻译过的商业合同、保险记录、签证申请等敏感内容曾被收录，存在隐私泄露风险。在社交平台上，有网友反映已有部分快照内容被抓取、打包和传播，其中可能涉及不少敏感个人信息。

部分搜索引擎留存的索引显示，不少用户利用该插件翻译过的商业合同、保险记录、签证申请等敏感内容曾被收录，存在隐私泄露风险。

翻译敏感内容应慎重服务方应做好安全防护

有网络安全专家认为，此次事件严格来说并非数据安全漏洞，而是功能本身存在缺陷。一是服务提供方没有对翻译结果进行必要的安全保护，导致其直接暴露在互联网上。二是服务提供方没有对用户做必要的数据安全提醒，敏感内容不应随意生成网页快照，以免出现数据泄露。

公开资料显示，在线翻译服务导致数据泄露已有先例。2017年，原挪威国家石油公司（Statoil）因在业务往来中使用一款免费在线翻译工具，导致大量商业合同、人事记录等敏感内容上传到云端后被搜索引擎抓取，造成数据泄露。

专家提醒，除了本地部署的翻译模型外，任何翻译服务都需要将数据上传到云端进行翻译，用户应该仔细阅读相关使用条款，尽可能规避数据安全风险，尤其是翻译商业合同、包含个人信息的文档等敏感内容时应该慎之又慎。对于曾经使用过此类快照功能的用户，建议仔细回忆是否分享过包含敏感个人信息的翻译结果，并采取如修改密码、暂时冻结高风险账户等相对应的补救措施。

对服务提供方而言，此类分享功能或许可以参考诸如网盘文件分享的设计，强制用户分享时设置密码和有效期，只有同时拿到链接和密码的用户才能访问内容，避免翻译结果泄露给无关人士。

出品：南都大数据研究院