“沉浸式翻译”爆安全漏洞，快照功能竟会外流敏感文件到网络

沉浸式翻译（Immersive Translate）是一款跨平台的浏览器与移动设备翻译工具，主要特色是能在保留原文排版的情况下，直接将外语内容与翻译结果并排显示，让用户在阅读时同时参考原文与译文。

不过，“沉浸式翻译”近日被揭发存在严重安全漏洞，部分用户生成的翻译快照竟可被搜索引擎直接索引，导致包含商业机密在内的大量敏感数据外流到网络上，且目前几乎无法完全移除。

沉浸式翻译提供将翻译后的网页或PDF生成“快照”并产生分享连接的功能，初衷是方便用户将翻译结果传给他人。然而，安全专家发现该功能缺乏必要的访问限制与保护措施，导致生成的快照能被搜索引擎抓取。

以商业合同为例，一旦用户通过沉浸式翻译搭配AI翻译服务处理，内容除了可能被AI模型供应商访问外，还可能因快照公开导致完集成同文件被任何人下载查看。

报道指出，这次事件暴露了两层风险：

第三方翻译模型数据外流──除了本地模型外，其他云计算或AI翻译服务都需将数据发送至供应商服务器，敏感资讯可能被用作模型训练。

快照无防护公开──快照连接无密码、不限访问，且可被搜索引擎收录，让外部人员轻易访问数据。

沉浸式翻译并未在使用快照功能时清楚提醒用户“敏感内容勿生成快照”，导致许多非技术背景的用户误以为内容只会私下分享。类似的问题，先前在OpenAI的ChatGPT“对话分享”功能中也曾发生过。

事发之后，开发团队发布了道歉声明，并暂停了该快照分享功能以进行修复。不过，目前暗网上已出现名为readit.site.tar.zst的559.6MB文件，内置大量沉浸式翻译readit.plus服务生成的快照，其中不少是包含个人信息与商业情报的敏感内容。安全专家提醒，曾使用过该快照功能的用户应评估自身数据外流风险，并采取必要应对措施。