1 月 30 日消息，据《连线》报道，Grok 的一款 AI 玩具近日被曝存在严重数据安全漏洞，约 5 万条儿童与 AI 互动的对话记录因云存储配置失误而处于公开可访问状态，任何拥有 Gmail 账号的用户均可查看和下载相关内容。

报道指出，问题源于该公司在使用 Google Cloud Storage 时，将存储儿童对话日志的存储桶错误设置为 " 公开访问 "。这些数据原本用于产品的 " 质量改进与个性化 "，但由于配置不当，长期暴露在互联网上，未设置有效访问权限控制。

泄露的对话内容涵盖儿童日常学习与生活的多个层面，包括作业辅导、拼写练习，也涉及家庭关系、个人恐惧、生活习惯等较为敏感的信息。安全研究人员在核查数据时发现，部分儿童在对话中提及父母关系问题、家庭住址以及日常行程安排。

Grok 玩具采用云端处理模式，语音数据被上传至远程服务器，经自然语言模型处理后存储。这一设计在提升交互能力的同时，也增加了数据在传输、存储和管理环节的安全风险。但是云平台默认并不会开放公开访问权限，因此可能是内部部审核和上线前测试方面出现的问题。

据悉，在美国，《儿童在线隐私保护法》（COPPA）要求面向 13 岁以下儿童的产品在收集个人信息前获得家长同意；在欧洲，《通用数据保护条例》（GDPR）对儿童数据的处理提出更高合规要求。法律界人士认为，Grok 事件可能同时触及多项监管框架，相关对话内容或被认定为敏感个人数据。

报道指出，近年来，具备联网与 AI 能力的儿童产品多次曝出安全漏洞，Grok 并非个案。不同于需要复杂攻击手段的黑客入侵，此次事件因访问门槛极低而被认为风险更高，潜在影响范围也更广。

事后，Grok 表示已在发现问题后立即关闭公开访问权限并修复配置错误，但尚未披露数据暴露的持续时间、是否存在未授权访问记录，以及对受影响家庭的具体通知和补救措施。