Meta一项收集员工广泛数据以训练AI模型的大规模项目已被冻结，此前有报道称员工突破了防护措施并访问了受限数据，而在Meta声称已修复漏洞后，这种情况又再次发生。

无论这家价值2010亿美元的Facebook母公司进行数据收集是否明智，分析师们认为，鉴于所收集数据极其敏感的性质，部署的数据保护措施严重不足。

"Meta拥有把事情做对的资源，然而他们却以指数级的方式失败了，"咨询公司Acceligence总监Karianne Michelle说。"这就是当政策决策和技术执行发生在两个不同、且不完全同步的房间时的样子。这种差距在承受结构性压力的组织中经常可以看到。"

Info-Tech Research Group首席网络安全顾问Fritz Jean-Louis表示同意："我们刚刚从Meta事件中观察到的是AI时代数据战略中的一种典型失败模式——在没有同样成熟的访问控制的情况下收集高风险遥测数据。在这种规模下，一次错误的配置就能将内部数据变成系统性暴露。"

该事件涉及Meta在四月推出的名为"模型兼容性计划"（MCI）的项目，收集鼠标移动、点击位置和键盘按键等计算机输入，以及屏幕内容。Meta员工最初不被允许选择退出。

收集的数据包括完整提示词和转录内容、私人对话、人员及绩效数据。Meta高管一再为该项目辩护，称训练AI系统像人类一样操作计算机软件是必要的，而员工是AI学习的最佳范例。

Meta负责AI研究的副总裁Stephane Kasriel表示，公司在6月18日发现未经授权员工访问了MCI数据，漏洞在四小时内被关闭。但他补充说："最初的修复没有奏效，数据的访问权限不得不进一步锁定。"在一份邮件声明中，Meta确认该计划暂时被叫停。

分析师、顾问和行业从业者表示，与底层数据暴露相比，他们更担心的是保护措施的不足。

独立技术分析师Carmi Levy说，尽管应该对Meta"对员工键盘按键和鼠标移动的奥威尔式监控"表示担忧，但更大的问题在于防护措施薄如纸片。"Meta按下暂停键的原因与日常员工监控的道德伦理模糊性毫无关系，而完全与其未能保护所收集数据有关。可以想象，一旦它弄清楚高度敏感数据是如何最终被无意中分享给整个公司的，就会恢复监控和数据收集。"

一个关键的背景问题是，虽然数据高度敏感，但从合规法律角度并不属于PII（个人身份信息）。这种区分可能让Meta产生了虚假的安全感。

Conifers.ai CEO Tom Findling说："公司可能会过于自在地说'这不是PII'，好像这就意味着数据是低风险的。但内部提示词、转录文本、聊天记录、数据表和绩效记录可以透露大量关于公司运作方式、正在构建的项目以及哪些地方存在漏洞的信息。即使不是社会安全号码，这些数据也是敏感的。"他认为Meta高管"想要假装他们不理解"所收集数据有多么敏感，以此作为不必充分保护这些数据的借口。

Jean-Louis对所收集数据的内容尤为不满："员工行为数据——如键盘按键、屏幕截图和使用模式——默认就是敏感的。如果你要用它来训练AI，就必须把它当作生产机密，而不是分析废料。当成千上万的内部数据表可以被广泛访问时，你拥有的不是一个数据平台，而是一片责任表面积。如今，信任本身就是一种安全控制。一旦员工认为他们的数据被过度收集或保护不足，你就会同时引入内部风险和声誉损害。"

Michelle则直指信任坍塌的连锁反应："Meta暴露的数据并不是真正的风险。安全政策只有在人们相信它时才会起作用，而现在受到质疑的正是这种信任。一旦员工不再信任领导层关于他们自身数据的言论，怀疑就会伴随此后每一项政策而来——产生变通方法、默不作声的违规行为，以及不再提出警示的员工。"