# 你的 AI 助手正在把你的对话卖给广告商
刚看到一份研究,说实话有点后背发凉。
LeakyLM 项目组发布了一份报告,测试了市面上主流的 AI 对话产品——ChatGPT、Claude、Grok、Perplexity——全部中招。四个平台的网页端都嵌了第三方追踪脚本,你输入的内容、对话标题、甚至对话 URL,悄无声息就送到了 Google、Meta、TikTok 的广告服务器上。
这不是什么”可能泄露”的假设,是他们一个个抓包验证过的。
## 到底泄露了什么?
先看数据。ChatGPT 的网页端嵌了 Google Analytics,你每次打开对话,**对话 URL 和页面标题**直接发送到 Google 的服务器。Claude 更夸张,不仅给 Google 送数据,还通过 Meta Pixel 的 `_fbp` cookie 把你的身份标识和对话绑定在一起。Grok 那边除了 Google Analytics,还同时往 DoubleClick、TikTok、Meta 送数据。
核心问题出在三个地方:
– **对话 URL 直接暴露**——这些平台默认生成的对话链接是公开的永久链接(permalinks),任何人只要有 URL 就能看到对话内容。而 URL 本身被塞进了追踪请求的参数里。
– **追踪标识与身份绑定**——Meta Pixel 的 `_fbp` cookie、Google 的 `_fbp`、TikTok 的 cookie,这些都能把你在不同网站上的行为串起来,形成一个完整的用户画像。
– **对话标题本身就是敏感信息**——比如你跟 ChatGPT 说”帮我看看胸口疼是怎么回事”,对话标题自动就是”胸口疼怎么回事”。这个标题直接作为页面标题,通过 `dt` 参数传给了 Google Analytics。
Grok 的情况最离谱——共享对话不仅生成公开的永久链接,还会生成**对话内容的截图**,截图上逐字逐句的聊天内容直接暴露在 Open Graph 元数据里,TikTok 的追踪脚本可以原样抓走。
## 这些追踪脚本是怎么进去的?
不是黑客入侵,是平台自己主动嵌的。ChatGPT 嵌了 Google Analytics,Claude 嵌了 Datadog + Google Analytics + Meta Pixel,Grok 嵌了 Google Analytics + DoubleClick + TikTok + Meta Pixel,Perplexity 嵌了 Google Analytics + Datadog。
做一个简单的抓包测试就能复现:
“`
# 打开浏览器开发者工具 -> Network 标签
# 随便跟 ChatGPT 说句话,过滤 ga.google.com 的请求
# 你会看到 dt 参数里带着你的对话标题
“`
我试了一下,确实如此。
## 问题的本质:商业模式冲突
这事说到底不是什么技术漏洞,而是**商业模式问题**。
AI 对话产品是重投入——训练成本、推理成本、算力成本,样样烧钱。大部分 AI 公司目前不赚钱,那就得想办法变现。免费的网页端产品,最常见的变现方式就是广告和数据变现。嵌入第三方追踪脚本,把用户数据送到广告网络,这是互联网二十年来玩得最熟练的套路。
问题是,AI 对话的内容敏感度跟普通网页浏览完全不是一个量级。你搜索一个商品,Google 知道你感兴趣,这没问题。但你跟 AI 聊自己的健康状况、法律纠纷、商业计划——这些信息从对话标题到永久链接全部暴露给第三方,性质就完全变了。
LeakyLM 的研究人员指出,这些追踪完全是**默认开启**的。没有给用户选择的机会。更糟的是,部分平台的”隐私控制”选项实际上并没有阻断追踪请求的发送。
## 作为开发者的应对
如果你是重度用户,几个缓解手段:
**浏览器层面**:
– 装 uBlock Origin 或同类拦截插件,把 `google-analytics.com`、`facebook.net`、`doubleclick.net` 全部拉黑
– 使用 Brave 浏览器,它的默认拦截级别可以挡住大部分追踪
– 定期清 cookie,尤其是 `_fbp`、`_ga` 这类用于跨站追踪的
**使用习惯**:
– 敏感对话用 API 走本地客户端,别在网页端聊
– Claude 桌面端和 ChatGPT 桌面端的数据流向可能不同,可以测一下
– 实在要用网页端,开无痕模式多少有点用
**我自己目前在用的方案**:API + 本地客户端。成本稍微高一点,但数据只经手我和模型提供商之间的 API 通道,至少少了一层广告网络。
## 表面之下
LeakyLM 这份报告的价值在于它戳破了一件事:AI 被包装成一种全新的范式,但底层的商业逻辑还是老一套——用户即产品。不管是 ChatGPT 还是 Grok,它们的前端代码里躺着的那几行追踪脚本,跟十年前那些免费网站的小把戏没有任何区别。
区别只在于,十年前你泄露的是浏览记录,现在你泄露的是思维过程。
研究人员还在扩展测试范围,Meta AI、MS Copilot、Google Gemini 因为同时是 LLM 提供商和第三方追踪方,属于不同的威胁模型,他们计划在未来几周内把这个缺口补上。这个结果我挺期待的。
—
*参考:[LeakyLM Research Disclosure](https://leakylm.github.io/)*