IMDEA Networks 研究所的一项新研究揭示，ChatGPT、Claude、Grok 和 Perplexity 等主流生成式 AI 平台广泛使用了来自 Meta、Google 和 TikTok 等公司的第三方追踪器，导致用户对话及活动数据面临泄露风险。尽管许多用户将这些 AI 视为私密助手并分享敏感信息，但研究指出其后台技术架构与传统网络广告生态相似，依赖数据收集和分析服务。 研究发现了三大核心问题。首先，聊天链接可能暴露给第三方追踪器，包含聊天标题、元数据甚至具体文本内容。例如，Grok 和 Perplexity 会将带有弱访问控制的聊天链接发送给 Meta Pixel，Grok 更通过 TikTok 收集的元数据暴露了完整的对话文本。其次，通过组合 Cookie、加密邮箱地址等标识符，追踪机制能够将 AI 内的活动与真实用户身份关联，建立持久画像。最后，部分平台的隐私政策存在误导性，虽承认数据共享但未明确说明用户的实际对话内容也在共享之列。 研究团队强调，这些做法反映了生成式 AI 领域延续数据驱动的商业模型。尽管用户可尝试拒绝非必要 Cookie，但这并不能完全阻止数据泄露，且界面缺乏相关提示。从法律角度看，此类数据共享缺乏明确的法律依据，且对用户的信息提供不足，可能违反 GDPR 等法规。 研究人员警告，敏感信息可能流向广告行业，其风险程度不应低于关于 AI 错误的常规提示。尽管目前发现尚属初步，但研究呼吁必须加强 AI 系统的透明度、访问控制及数据保护机制，并从监管层面推动变革，以切实保障用户隐私安全。