专家称自动抄写应用程序Otter。人工智能及其竞争对手只提供可能危及信息源的松懈安全措施

虽然他住在华盛顿特区，在Twitter上很活跃，经常接受媒体采访，但他非常清楚中国政府总是对他视而不见。

阿克苏是一名维吾尔人，是总部位于哥伦比亚特区的维吾尔人权项目的直言不讳的人权倡导者。作为一名中国对手，网络钓鱼企图、Facebook对其账户攻击的警告以及实体冒充其他维吾尔人的电子邮件都是司空见惯的事情。他说，他甚至收到了带有家乡口音的身份不明人士的语音信息，敦促他点击某些可疑链接。阿克苏说：“被监视或跟踪的感觉不好，我也一直担心自己的人身安全。”。

中国政府对新疆维吾尔族穆斯林人口的全面监控，使得维吾尔人与海外亲友的任何接触都可能成为警方审查的危险信号。近年来，当四名家庭成员相继死亡时，心碎的阿克苏没有打电话回家询问他们的死亡情况，以保护亲属免受国家对他们与海外关系的潜在危险审查。

因此，当我在11月与阿克苏交谈时，我确保使用加密手机应用Signal来保护我们关于海外维吾尔人心理创伤的讨论。

第二天，我收到了水獭寄来的一张奇怪的纸条。ai，我用来记录采访的自动转录应用程序。上面写着：“嘿，菲林，为了帮助我们改善你的水獭的体验，这张名为‘Mustafa Aksu’的特别录音的目的是什么，它创作于‘2021-11-08 11:02:41’？”

他们给出了三个回答：“个人抄写”、“会议或小组合作”和“其他”

我愣住了。这是网络钓鱼攻击吗？是Otter还是有权访问Otter服务器的实体在监视我的对话？

我联系了Otter，以核实这是否真的是一项真正的调查，还是某种巧妙的网络钓鱼手段。在初步确认调查是合法的之后，同一位水獭代表否认了这一点，并警告我“不对该调查做出回应，并将其删除”我和水獭的交流都局限于电子邮件，而且是零星的，经常令人困惑和矛盾。

在那次最初的交流之后的三个月里（还有更多的交流），我已经进入了兔子洞——与网络安全专家、新闻自由倡导者和一位前政府官员交谈——试图了解这个应用程序中存在哪些漏洞和风险，这个应用程序因其快速而受到记者的喜爱，可靠和廉价的自动转录。

我们一直在用我们的技术权衡隐私和实用性。我们知道Facebook出售我们的数据，但我们仍然发布婴儿照片。我们允许谷歌地图访问我们的位置，尽管我们知道它会留下不可磨灭的数字痕迹。即使是精明、持怀疑态度、努力保护消息来源的记者，也发现自己被水獭（Otter）所奴役。水獭是一种由人工智能驱动的转录应用程序，它几乎消除了撰写采访笔记这一曾经艰巨的任务。专家说，这是一个被忽视的漏洞，会使数据和来源面临风险。

哥伦比亚大学数据科学研究所（Columbia University's Data Science Institute）研究员苏珊·麦格雷戈（Susan McGregor）在谈到转录应用程序时说：“这些人工智能支持的服务存在，并且可以在几分钟内将数小时的音频转换成合理的书面记录，这一事实完全改变了游戏规则。”。“它们运行在机器学习上，这意味着它们将你的数据暴露于一种算法中，这种算法既可以转录你的文本，也可以几乎肯定地使用你的文本和音频来提高未来转录的质量。”

水獭及其竞争对手，包括描述、Rev、TEMI和基于英国的TrIt，都是数字仓库，其优点是速度和便利性被专家所说的松散的隐私和安全保护所包围，这可能危及敏感的文本和音频数据，记者的身份以及他们接触到的潜在易受攻击的消息来源。

Trint、Otter、Temi和Rev均声称遵守欧盟旗舰数据隐私法《一般数据保护条例》的全部或部分用户数据保护和存储标准。但网络安全专家表示，与第三方共享用户数据会造成隐私和安全漏洞。

Otter“与很多人分享你的个人数据，包括移动广告追踪提供商，因此我感到非常震惊的是，有大量的个人数据，而且有可能泄露记者的信息来源，”国土安全部负责政策的前副助理部长保罗·罗森茨威格说，以及红科咨询公司的创始人。“他们还非常明确地表示，他们对法律义务[执法数据请求]作出回应，因此，任何记者如果抄录了来自机密来源的采访并将其上传到Otter上，就必须接受Otter最终将该抄本交给FBI的可能性。”

或者外国的安全机构。当我要求Otter澄清它是否与非美国政府或执法机构共享用户数据时，答案并不令人满意。12月16日，水獭服务团队成员丹尼斯·穆奇（Denise Mutch）通过电子邮件告诉我：“如果法律要求我们披露个人信息，或者我们真诚地相信，为了遵守法律义务、流程或请求，这种使用是合理必要的，我们就披露个人信息。”。

Otter与公司与第三方用户共享的个人数据可能发生的情况保持距离。Otter的隐私政策警告称：“我们不对此类第三方或应用程序提供商的内容、隐私和安全做法及政策负责。”。

总的来说，记者们意识到，在这个时代，没有什么是真正的隐私。但抄写应用的危险大多是在雷达以下飞行。保护记者数字安全工具包委员会（Committee to Protect Journalists’s Digital Safety Kit）上一次更新是在10月，但没有提到抄写应用。

《新闻自由基金会的主要研究员Martin Shelton》说：“这是一个在很多新闻编辑室里备受争议的问题，因为有多少人依赖于转录服务，以及你的个人采访数据能访问多少。”上个月发布了一份转录应用程序的安全分析。

报告承认，Otter及其竞争对手使用加密技术，使得用户数据“不太可能被组织外的攻击者破坏”然而，与WhatsApp和Signal等消息应用程序提供的端到端加密不同，Otter的算法解密数据以访问音频。

一些转录应用程序还存在其他技术漏洞，包括缺乏双因素身份验证，这可能导致谢尔顿称之为“噩梦场景”的黑客访问自己的帐户。在五种主要的转录应用程序服务中，只有Rev和Otter为用户提供双因素认证，Otter将其限制在上层商业计划中。

这些都不是新问题。科技媒体平台ZDNet在2018年就Otter的隐私政策问题敲响了警钟。隐私和技术律师亚伦·贝尔（Aaron Baer）在2020年8月警告称，抄写应用程序用户“永远无法真正了解他们的数据发生了什么，不管一家公司看起来多么值得信赖。”

专家表示，这些应用程序存储在云服务器中的大量数据让它们成为黑客的磁铁。麦格雷戈说：“任何时候，只要你有高度集中的非公开原始信息，它就会成为目标。”。

我担心的是，我对阿克苏的采访在某种程度上引起了中国政府对维吾尔族活动人士进行监视和骚扰的国际努力的注意——无论是通过黑客还是政府对该公司的要求。

Facebook在3月份透露，它已经从该平台上屏蔽了一群总部位于中国的黑客，这些黑客用“恶意软件”锁定了居住在国外的维吾尔人Facebook没有直接将中国政府牵连到这些努力中，称其为“一个资源充足且持续的行动，同时混淆了幕后主使”

《华盛顿邮报》对去年12月发布的数百份中国政府文件的分析显示，至少有300个官方项目致力于“从Twitter、Facebook和其他西方社交媒体等来源收集外国目标的数据”2月5日，美国证券交易委员会（Securities and Exchange Commission）提交的一份文件显示，对新闻集团（News Corp.）黑客攻击的分析显示，黑客与中国有联系。网络安全公司Mandiant得出结论，黑客寻求信息“是为了中国的利益”中国外交部发言人赵立坚回应说，“中国坚决反对和打击一切形式的网络攻击。”

在多次询问调查目的后，一位水獭代表终于承认他们把它寄给了我——电子前沿基金会网络安全部主任Eva Galperin核实了邮件头。Otter最初将该调查描述为“我们的工程团队要求的语言水平调查”奥特说，阿克苏是调查的重点，只是因为我输入了他的名字作为录音的标题。

1月14日，水獭服务团队成员Allen Lai通过电子邮件告诉我：“对于那个特定的对话，对话的标题包括某人的个人信息，这在调查中被提及。”。“我们想确保[sic]您没有监控您的账户或内容，我们引用了对话的标题，以便您能够回忆起特定的录音。”

显然，我不是唯一一个担心这种审查的水獭用户。赖说：“由于担心一些客户（比如你自己）可能会在谈话标题中包含个人或敏感信息，并且将这些信息包含在调查中可能会引起一些担忧，所以这项调查已经停止。”。

转录应用程序的隐私政策对有数据安全意识的人来说没有什么好处。Otter隐私政策声称有权使用用户的个人信息，包括“您上传或提供给我们的任何文本、图像或视频”，以帮助改进转录算法，并与第三方共享。Otter说，这些第三方包括11种不同类型的实体，包括“平台支持提供商”、“广告合作伙伴”和“执法机构、公共当局或其他司法机构和组织”出于这个原因，隐私政策提醒用户，使用该应用进行记录的任何人都应获得知情同意。

Otter在其隐私政策中规定，用户有权“收到关于我们如何使用[用户数据]以及与谁共享数据的解释”我问Otter他们是否曾与任何外国政府或执法机构分享过我的“个人信息”——比如我与阿克苏聊天的音频和文本文件。12月16日，一位水獭服务代表通过电子邮件告诉我：“我可以想象，如果我们有，你会以某种方式得到通知，但我会把问题提交给你核实。”。

2月15日，星期二，奥特终于给了我一个更实质性的回答。“我们没有也不会与任何外国政府或执法机构共享您的任何数据，包括数据文件，”Otter的公共关系经理Mitchell Woodrow通过电子邮件告诉我。“需要明确的是，除非我们在法律上被有效的美国法律传票强制这样做，否则我们永远不会与任何外国政府或执法机构共享您的任何数据，包括数据文件。”

“这些服务通常承诺，除非绝对必要，否则不会查看您的转录本。在某些情况下，他们有人工智能自动转录，并报告他们有政策和技术控制措施，以限制员工查看您的数据。在某些情况下，他们有人工转录员，通常要求他们签署c新闻自由基金会的Shelton说。

谢尔顿补充说：“归根结底，他们确实可以访问纯文本或可读版本的成绩单，以及你上传的可供人收听的采访版本。这种访问对于提供许多此类服务是必要的。”。

新闻基础报告的自由建议用户保护他们提交的数据的完整性，以用强密码转录APP云服务器，并选择提供双因素认证的提供者。它还建议用户下载并删除他们的音频记录——将其剪切并粘贴到Word或Google docs等其他平台——以便将其从公司服务器上删除，以降低暴露风险。但这些都是个人权宜之计，因为没有网络安全专家所说的一项急需的联邦数据隐私法，涵盖所有企业对消费者数据的使用。

麦格雷戈说：“就我自己而言，如果我在做一些非常敏感的事情，我仍然有一台独立的数字录音机，不能连接到互联网。”。“但如果我们关心这些事情，我们就必须制定相关法律……[因为]现有法律已经过时，大多早于消费互联网，在我们更新之前，我们就陷入了这种基于上个世纪发明的技术的拼凑解释。”

国会在一项全面的联邦隐私法案上仍处于停滞状态。尽管两党在众议院和参议院的谈判仍在继续，但在联邦法案是否应优先于现有的州隐私法，以及是否允许个人就侵犯隐私提起诉讼等问题上，两党仍存在分歧。在没有联邦法案的情况下，多个州通过了各自的隐私法，包括加利福尼亚州、弗吉尼亚州和科罗拉多州。

在这些法律改变之前，记者和其他依靠转录应用程序的人需要仔细考虑潜在的危险。

罗森茨威格说，记者“真的必须对威胁与使用（转录应用程序）的效率和效用进行风险评估。”。“如果你是一名记者，经常在俄罗斯采访维吾尔人或持不同政见者，不，可能不会。”

我问阿克苏，他对我们的谈话可能很脆弱有何看法。他有着多年的中国政府监控经验，对我们的通讯可能遭到破坏表示了辞职。“我经常受到中国政府的骚扰，所以我有点习惯了，”他说。