大家好,今天这个案例和律师事务所相关,而且揭露了一个很多人可能都没意识到的安全隐患。一家知名律所的律师在和客户进行保密沟通的时候,使用了一个语音转文字的辅助工具,结果这些高度敏感的对话内容被自动上传到了云端,客户的信息安全受到了严重的威胁。
事情的经过是这样的。这家律所的律师在接一个重要客户的案件时,为了便于整理沟通记录、提高工作效率,使用了一款语音转文字的辅助工具。这个工具的工作方式是这样的,律师打开手机上的App开始录音讲话,App会自动把语音转换成文字,生成文字版本的会议记录。听起来很方便对吧?很多律师和商务人士都在用这类工具。但问题在于,这款语音转文字工具的默认设置是把所有录音文件上传云端服务器进行AI转写处理,而不是在本地设备上完成转写。律师在不知情的情况下,把所有和客户的沟通录音全部上传到了开发商的云端服务器上。这些录音里面包含了客户最核心的商业机密、法律策略、案件信息,如果被第三方访问到,后果不堪设想。后来有一位安全研究人员在检查这款应用的隐私政策时发现了这个问题,引发了行业内的广泛关注和讨论。
分析一下泄密链路。这个案例的泄密链路其实很隐蔽。第一,语音转文字工具在处理音频时,很多都需要上传云端进行AI识别转写,而不是在本地处理。用户未必知道自己说的话被传到了云端服务器。第二,这些服务商的隐私政策里虽然说了会保护用户数据,但实际上云端数据的安全性取决于服务商的保护能力和合规程度。有些服务商甚至会把用户数据用于AI模型的训练,这就更进一步增加了数据泄露的风险。第三,律师在使用这类工具时没有深入了解其数据处理方式,也没有和律所的信息安全团队确认过工具的安全性。
这个案例给我们带来什么警示呢?第一,在使用任何语音转文字、AI辅助记录、智能会议纪要等工具时,一定要先搞清楚这些工具的数据处理方式。是在本地设备上处理还是需要上传云端?上传到云端后数据存储在哪里?谁有权限访问?会不会被用于AI训练?这些问题必须在使用之前搞清楚。第二,涉及客户保密信息的沟通录音,原则上不应该使用任何需要上传云端处理的第三方工具。如果需要转写记录,应该使用本地部署的方案或者经过安全认证的专业工具。第三,律所和企业法务部门应该建立信息安全管理制度,明确哪些工具可以使用、哪些不可以,并对员工进行相关培训。
对于律师事务所、咨询公司、会计师事务所这些高度依赖客户保密的行业来说,这个案例的参考价值非常大。任何一个小小的工具使用不当,都可能导致客户的信任崩塌。建议所有专业服务机构重新检查一下员工日常使用的各类辅助工具,特别是那些涉及音频处理和数据上传的工具。我们官网有企业信息安全管理制度建设指南和工具安全评估服务,可以帮助专业服务机构全面排查各类工具的安全风险。
