自今年初各家媒體曝光後，科技新創公司 Clearview AI 就一直備受爭議。

Clearview AI 擁有龐大的臉部辨識資料庫，包括從網站和社群媒體平台抓取的 30 億張圖像。用戶上傳感興趣的人的照片，軟體可透過資料庫的相似圖像進配，以確認上傳照片中人的身分。

消息一出，Facebook、Google 等科技公司紛紛要求終止第三方協議。甚至，伊利諾伊州和維吉尼亞州也提起訴訟，要求暫停該程式。

最近程式原始碼洩露造成的安全漏洞，更引發不少媒體擔憂。TechCrunch 報導，網路安全公司 SpiderSilk 首席安全長 Mossab Hussein 發現 Clearview AI 一個暴露的伺服器，儘管受密碼保護，但配置為允許任何人註冊為新用戶以登入儲存原始碼的伺服器。

此外，伺服器還儲存公司一些密鑰和憑證，可授權對 Clearview AI 雲端儲存的訪問權限，進而可訪問 Windows、Mac、Android 和 iOS 系統副本。不久前，蘋果因違反規則阻止該應用程式。據 Hussein 的說法，還公開 Clearview 的 Slack 令牌，如果使用令牌，能允許無密碼訪問該公司的內部私人通訊。

▲ Hussein 說，Clearview AI 的 iOS 應用程式不需要登錄。他拍了幾張螢幕截圖，以展示該應用程式的執行方式。範例使用馬克‧祖克柏的照片。（Source：TechCrunch）

儘管 Clearview AI 聲稱只允許執法部門使用此技術，但報告顯示，吸引了梅西百貨、沃爾瑪、NBA 等企業用戶。

Clearview AI 創始人 Hoan Ton-That 表示，「公司多次承受了外界網路入侵挑戰，且一直在大力投資以增強安全性防護。」

據了解，Hoan Ton-That 與 HackerOne 建立了一個漏洞賞金計畫，透過該漏洞獎勵安全研究人員發現 Clearview AI 的漏洞。之前被曝光的這個漏洞並未暴露任何個人身分資訊、搜尋歷史或生物辨識資訊。

不過，Hussein 描述了另外一幅畫面：他從雲端儲存發現約 7 萬支影片，這些影片是一棟住宅大樓安裝的鏡頭拍攝的。他曾向 Clearview AI 說明此事，但拒絕接受懸賞，在他看來，如果簽署該懸賞，將禁止公開披露安全漏洞。

Hoan Ton-That 解釋，這些鏡頭是在大樓管理人員許可後設置的，嚴格限於調試目的，只收集一些原始影像，這是製作安全監視器原型的一部分。

據報導建築物位於曼哈頓，一些有建築物大廳的土地清單也證實這點。不過，負責建築物的房地產公司代表並未回覆。

Clearview AI 表示，未公開任何可辨識個人身分的資訊、搜尋歷史或生物辨識資訊，並補充說明公司已全面審核伺服器，以確認未發生其他未經授權的訪問。伺服器公開的密鑰也更改過，因此不再發揮作用。

多年以來，數據洩露的威脅、數據保護的責任及對企業和科技產業發展的影響，正受到更多人關注。

2016 年 4 月，歐盟 GDPR 獲得批准，並於 2018 年 5 月正式實施。法規提出的最低要求包括：數據保護責任、數據主體的同意、數據訪問權以及數據洩密機制等。

實際上，我們早就應該考慮如何管理公共數據安全問題。首先，企業需要讓用戶更清楚地了解何時可抓取並使用這些數據；同時，還需要充分發揮法律的力量，為用戶提供新的保護措施，以防止接下來企業還會使用同樣的手段。

直到目前，Clearview AI 仍是有富爭議的話題。上週稍早有消息稱，駭客已獲得 Clearview AI 的客戶清單。殊不知，安全問題正持續引發除用戶外更多人關注。

（本文由 雷鋒網 授權轉載；首圖來源：shutterstock）