隨著生成式 AI 蓬勃發展,近年衍生出許多有趣且實用的應用,其中就包括了被稱為 AI 錄音神器的 PLAUD NotePin(另一產品為錄音卡 PLAUD NOTE),這項產品獲得不少科技類 KOL 與網紅紛紛推薦,主打自動會議記錄與筆記生成功能。然而如果深入追查其背景後,卻浮現出不少耐人尋味的資安隱憂。
台灣專利師袁如陵在觀察後指出,PLAUD 對外宣稱來自美國公司 NiceBuild,同時也以 Plaud Inc. 名義經營。但從公開的商標與註冊資料顯示,其實際背後操盤者正是中國的深圳機智連接科技有限公司(又稱 iZYREC)。這意味著,儘管產品打著美國品牌的旗號,卻實際受中國法律規範,資料管理與審查必須遵守中國的資訊監管制度。
更令人憂心的是,在 PLAUD 美國官網的服務條款中,曾經出現過一段措辭,要求使用者不得「顛覆國家政權、破壞國家統一」,雖然這段文字目前已從官網移除,但相關截圖仍在網路上流傳。袁如陵提醒,這樣的限制條款,通常與中國境內網路服務的政治審查相關,卻出現在一個標榜「美國公司」的產品上,難免引發疑慮,廠商究竟如何「確認」使用者的錄音內容是否違反規範?而這樣的審查機制,會不會讓敏感資訊在無形中被檢索甚至外流?
PLAUD 對外強調,資料會儲存在美國的伺服器。然而一旦企業主體仍是中國公司,就難以擺脫中國法律的拘束。依照中國相關法規,企業在必要時必須將資料提交給政府部門。換言之,當台灣或國際企業將會議紀錄交由這類產品處理時,機敏資訊有可能繞道進入風險管控範疇之外。
事實上,會議記錄向來是企業最敏感的資訊之一,會議中時常涉及策略規劃、客戶名單、商業談判甚至政策溝通,若透過 PLAUD 這類產品錄製,資訊將以即時方式上傳並同步至雲端,甚至在會議尚未結束之前,外部就可能已經掌握內容。對任何一家重視資安的企業而言,這就等於在會議室裡擺放一顆「智慧竊聽器」。
值得注意的是,儘管相關疑慮早在數月前就已被袁如陵揭露,PLAUD 的宣傳力道卻絲毫未減,社群上仍充斥大量正面推薦,許多知名 KOL、甚至對技術領域頗有研究的科技網紅都持續推廣,形成鋪天蓋地的行銷攻勢。這種「不尋常的宣傳密度」,讓人懷疑背後是否有龐大的行銷資源支撐,甚至刻意隱藏了品牌的真實身份。
袁如陵進一步提醒,中國製產品並非一概等於風險,但當企業刻意隱藏背景、再以高價買下科技網紅的背書,並且將產品定位在最敏感的會議記錄場景時,確實讓人不得不提高警覺。對於企業資安單位來說,這樣的風險甚至比員工私自上傳檔案到個人雲端硬碟還要更高。畢竟後者尚能追蹤與事後補救,但會議中經由第三方裝置即時上傳的資訊,一旦流出就難以挽回。
隨著 AI 會議工具愈來愈受歡迎,PLAUD NotePin 的爆紅可說是踩準了需求趨勢。然而對使用者來說,除了方便與創新的亮點,更應注意背後的資安代價。如果只是個人使用,風險或許有限;但若將它帶進企業、公部門會議室,那就不只是單純的科技產品選擇,而是可能影響組織安全的關鍵決策。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
