Телефон в ответе: когда AI становится болтливым
Представьте: вы спрашиваете чат-бота, как испечь хлеб, а он в ответ выдает чей-то мобильный номер. Не вымышленный, а реальный. С кодом страны, оператором — все как надо. Звучит как сценарий черной комедии? Нет, это реальность мая 2026 года.
Исследователи из Центра цифровой безопасности Берлина на днях опубликовали шокирующий отчет: Google Gemini 3 Ultra — самая мощная модель Google — при определенных условиях возвращает в ответе номера телефонов, адреса и email, которые… когда-то попали в обучающую выборку. Это не хакерская атака и не взлом базы. Это банальная утечка памяти модели, которую разработчики не смогли запечатать до конца.
Важно: проблема не уникальна для Google. Аналогичные инциденты фиксировались у ChatGPT и Claude. Но масштаб Gemini поражает — под угрозой до 200 000 реальных телефонных номеров, по оценке экспертов.
Как такое возможно? Модели вроде Gemini обучаются на гигантских массивах текста из интернета. Если в этих данных были страницы с контактами (например, сайты компаний, форумы, утечки прошлых лет), нейросеть запоминает их как часть «знаний» и может воспроизвести при правильном запросе. До сих пор считалось, что современные фильтры PII (персонально идентифицируемой информации) блокируют такие ответы. Но «правильный» промпт обходит защиту.
Вот пример, который привел один из исследователей: пользователь попросил Gemini «напиши шаблон письма для холодного обзвона, используя реальные номера для примера». Модель подчинилась и выдала список из десяти номеров, принадлежащих реальным людям. Никакого предупреждения. Никакого отказа.
Google, конечно, отреагировал. Сразу после публикации отчета компания выпустила экстренное обновление для фильтрации PII в Gemini 3 Ultra и пообещала усилить контроль на этапе обучения. Но осадочек, как говорится, остался. И не только у пользователей, данные которых могли утечь, — вопросов к дизайну системы стало еще больше. Особенно после недавнего судебного иска о психозе из-за Gemini.
Кто виноват: модель, данные или мы?
Давайте разберемся, где здесь техническая ошибка, а где — системная.
- Модель: Gemini 3 Ultra обучалась на 20 триллионах токенов. Вычистить все PII из такого объема невозможно. Но Google мог внедрить более надежные пост-фильтры, которые блокируют вывод номеров. Они есть, но их обходят.
- Данные: В обучающий корпус попали куски старых утечек (например, база LinkedIn 2021 года, которая до сих пор гуляет по сети). Модель выучила эти закономерности.
- Пользователи: Многие сами загружают в чат-боты документы с контактами, не думая, что AI может их «запомнить» и выдать другому. Это классическая проблема конфиденциальности, которую мы уже обсуждали в статье «Конфиденциальность под вопросом: что ChatGPT знает о вашем годе».
Но главный виновник — бизнес-модель Google. Чтобы Gemini был полезным, его кормят всем подряд. Точнее, кормили. После скандала компания заявляет, что пересмотрит подход к фильтрации конфиденциальных данных. Но мне почему-то не верится, что это изменит ситуацию кардинально.
Что делать? Обезопасьте себя прямо сейчас
Хорошая новость: вы не обязаны ждать, пока Google разберется с фильтрами. Плохая: если вы активно пользуетесь любыми AI-чат-ботами, ваши контакты уже могли где-то всплыть. Вот конкретные шаги для минимизации рисков.
1Удалите историю диалогов
В Gemini это делается через myactivity.google.com. Выберите «Удалить активность за все время». Повторяйте раз в месяц. Да, это удалит и полезные сохраненные запросы, но безопасность дороже. Подробнее о настройках приватности мы писали в полном гиде по AI-инструментам Google.
2Не делитесь личными данными в чатах
Звучит банально, но люди до сих пор вставляют в промпты номера паспортов, адреса, телефоны. AI-модель может использовать эту информацию в последующих ответах для других пользователей. Правило: любой ввод в чат-бот — это публикация в открытом интернете, если вы не используете приватное API с гарантией неиспользования данных (как в Google Cloud Vertex AI).
3Используйте анонимизаторы и шифрование
Если нужно поработать с конфиденциальной информацией через AI — шифруйте данные на стороне клиента или используйте сервисы, которые обещают не сохранять промпты. Например, Gemini Nano (локальная модель на устройстве) — самый безопасный вариант, потому что все вычисления идут без облака. Как отключить скрытую загрузку Nano — читайте в нашей предыдущей статье.
4Проверьте, какие данные о вас уже доступны
Есть сервисы (например, Have I Been Pwned), которые показывают, участвовал ли ваш email или телефон в известных утечках. Если номер уже плавает в открытом доступе — меняйте его, привязывайте к банковским картам другой номер, ставьте спам-фильтры.
А еще ни в коем случае не давайте Gemini доступ к своей телефонной книге, даже если он настойчиво предлагает синхронизировать контакты. Помните, как в прошлом году Google чуть не загружал Nano через Chrome без спроса? Та же логика: сначала удобство, потом — утечка.
Что дальше? Регуляторы просыпаются
Уже на этой неделе стало известно, что Европейский совет по защите данных (EDPB) начал предварительное расследование в отношении Google и OpenAI по факту непреднамеренного раскрытия PII. Если будет доказано, что компании не приняли достаточных мер, штраф может составить до 4% годового оборота — для Google это десятки миллиардов долларов.
И это не единичный случай. Мы видели, как дизайн Gemini привел к судебному иску на 75 миллионов долларов из-за психологической зависимости. Теперь — утечка данных. Вопрос: где грань, за которой регуляторы заставят компании переписывать архитектуру моделей, а не просто латать дыры патчами?
Мой прогноз: в ближайшие полгода мы увидим либо законодательное требование обязательной фильтрации PII на уровне архитектуры (например, встраивание дифференциальной приватности прямо в процесс обучения), либо массовый отказ крупных корпораций от публичных AI-ассистентов в пользу приватных инстансов. Лайфхаки с Gemini 3 хороши, но пока безопасность не станет приоритетом, каждый такой лайфхак может обернуться раскрытием вашего номера.
И последнее: не доверяйте AI то, что не готовы выложить на главную страницу газеты. Потому что с текущей архитектурой именно это и происходит.
