勒索组织Lapsus$于2026年4月4日发布了一个4TB的文件,其中包含超过40,000名Mercor合作者的生物识别数据。Mercor是一个招募承包商来训练人工智能模型的平台。此次泄露包括语音录音、文件扫描件和验证自拍照,在十天内引发了五起集体诉讼,原因是未就使用声纹作为永久生物识别标识符发出警告。
仅需15秒样本即可进行语音克隆 🎙️
技术风险在于,高质量语音克隆仅需15秒的清晰音频即可复制一个语音身份。Mercor的录音时长在最佳条件下为两到五分钟,提供了足够的材料来生成合成语音模型。这使得每个文件都成为冒充的载体,而受影响者无法撤销其声纹。与密码或物理令牌不同,语音生物识别缺乏更改机制,从而放大了在自动电话勒索或欺诈中的潜在损害。
你的声音不再属于你,它只是一个训练文件 🤖
此案最有趣之处在于,受影响者原本是训练AI模型的员工,而现在他们自己却成了另一种人工智能的非自愿数据集。Mercor要求他们清晰说话以改进算法,但忘记提及他们的声音将不再私密。只需15秒的录音,任何开源脚本都能模仿一名承包商申请贷款。至少,如果他们的脸部自拍照被盗,他们可以戴上太阳镜;而对于声音,只剩下沉默。