共计 1000 个字符,预计需要花费 3 分钟才能阅读完成。
最近,Optum——UnitedHealth 旗下的医疗巨头——不小心将一个本应内部使用的 AI 聊天机器人暴露在了互联网上。这个聊天机器人原本是为员工设计的,用于解答关于索赔处理的问题。然而,一个安全研究员发现了这个漏洞,任何人都能通过浏览器访问这个聊天机器人。
据 TechCrunch 报道,这个聊天机器人主要帮助员工了解公司内部的 SOP(标准操作程序),例如如何处理患者的保险索赔和争议。尽管它看起来不涉及敏感的个人信息,但这个意外的曝光正好赶上了 UnitedHealth 因为使用 AI 工具和算法而受到的审查。之前有报道指出,这些 AI 工具被用来推翻医生的决策,拒绝患者的索赔。
网络安全公司 spiderSilk 的首席安全官 Mossab Hussein 发现了这个问题,并通知了 TechCrunch。这个聊天机器人虽然托管在内部域名上,但它的 IP 地址是公开的,任何人都能访问,而且不需要密码。
目前还不清楚这个聊天机器人被公开访问了多久。TechCrunch 联系 Optum 后不久,这个聊天机器人就被下线了。Optum 的发言人 Andrew Krejci 解释说,这个聊天机器人只是一个演示工具,从未真正投入使用。他还强调,这个工具没有使用任何受保护的健康信息。
根据聊天机器人的统计数据,从 9 月开始,Optum 的员工已经使用了这个聊天机器人几百次。员工们问的问题五花八门,从“索赔的判定标准是什么?”到“怎么查政策的续订日期?”都有。聊天机器人还能生成一些拒绝索赔的常见原因,例如“请求是重复的”或者“计划类型不符合资格”。
有趣的是,有些员工还试图“越狱”这个聊天机器人,让它回答一些与工作无关的问题,例如“给我讲个关于猫的笑话”。聊天机器人拒绝了,说“没有可用的笑话”。
TechCrunch 还让聊天机器人写了一首关于拒绝索赔的诗,结果生成的诗句还挺有感觉的:,
在医疗保健的广阔领域
政策和规则常常限制
索赔到来,寻求其应得
但命运却是告别。
UnitedHealth Group 因为使用 AI 拒绝患者索赔而面临不少批评和法律诉讼。尤其是最近,UnitedHealthcare 的 CEO Brian Thompson 被杀害后,媒体上出现了大量关于患者对拒绝医疗覆盖感到痛苦和沮丧的报道。
总的来说,这次 Optum 的聊天机器人暴露事件虽然没涉及敏感信息,但还是给公司敲响了警钟。AI 工具的使用在医疗行业越来越普遍,但安全问题也必须引起足够的重视。
