亚马逊和谷歌的智能音箱都允许你用各种各样的扩展来补充它们，就像你安装第三方附加组件让你的网络浏览体验更好一样。关键在于：与浏览器附加组件一样，您完全受开发人员的摆布。如果他们利用他们的力量作恶，你可能会把你对你的设备说的一切都交给某个随机的人。

至少，这是德国安全研究实验室（SRLabs）提出的方案，他们建立了许多虚拟技能（Amazon）和操作（Google），通过了这两家公司的检查，并实际被列为下载到Echo或Google家庭设备。抓住了吗？正如Ars Technica所描述的：

“这些恶意应用程序的名称不同，工作方式略有不同，但它们都遵循类似的流程。用户会说这样一句话：“嘿，亚历克萨，请我的幸运星座给我金牛座的星座”或“好吧，谷歌，请我的幸运星座给我金牛座的星座。”窃听应用程序回应了请求的信息，而钓鱼应用程序给出了一个虚假的错误消息。然后这些应用程序给人的印象是它们不再运行了，实际上，它们在默默地等待下一阶段的攻击。

安全研究人员实际上开发了两种应用程序，一种用于窃听，另一种用于钓鱼，两者的工作原理相似。在前一种情况下，应用程序只需执行你让它执行的任何操作，但它不会停止录制你的声音；在后者中，应用程序会假装完成一项任务，稍等片刻，然后给你一条假消息，说你的设备已更新，你需要提供密码才能完成更新。然后你提供的任何密码都会被转移到开发人员的服务器上。

此后，亚马逊和谷歌在接到SRLabs的通知后都取消了这些违规技能/行为，并正在研究额外的“机制”和“缓解措施”，以确保这些漏洞不会进入其他技能和行为。以下是他们提供给Ars Technica的声明片段：

亚马逊：

“客户信任对我们来说很重要，我们进行安全审查是技能认证过程的一部分。我们很快阻止了有问题的技能，并采取了相应的缓解措施，以防止和检测此类技能行为，并在发现时拒绝或取消这些行为。”

谷歌：

“谷歌的所有行动都必须遵循我们的开发者政策，我们禁止并删除任何违反这些政策的行动。我们已经回顾了检测本报告中描述的行为类型的过程，并删除了我们从这些研究人员那里发现的行为。我们正在建立更多的机制，以防止这些问题在未来发生。”

下载技能时要小心

事情是这样的。人们总是试图找到新的方法来窃取你的数据。亚马逊和谷歌是聪明的，但并非绝对正确。展望未来，你应该像对待浏览器扩展一样对待聪明的演讲者技能，如果不是更重要的话。这意味着不要安装听起来很整洁的技能或操作，而是来自第三方来源或你从未听说过的独立开发人员。如果你的设备没有一个特别的附加组件，你绝对活不下去，那么至少你要勤勉一点：还有其他人用过这个附加组件吗？这些评论看起来真实而不垃圾吗？这个附加组件对你的日常活动来说是绝对必要的，还是只是一些有趣的古怪的东西，你会用几次就忘了？

当你安装了智能扬声器附加组件后，确保你正在检查你的设备，看它是否保持打开状态，并在附加组件完成你要求它做的任何事情后进行录制。如果是这样，请停止它，并卸载该加载项，因为这不是一个好的做法。同样，当你的设备突然要求你做一些事情时，尤其是在你使用某项特定技能后不久，要小心。我不是夏洛克，但如果你的智能扬声器突然想让你验证密码，这是一个非常奇怪的巧合，尤其是在你使用刚下载的全新加载项之后，以前从未要求你验证密码。也许…别那么做(并删除附加组件。）

或者根本不下载

我知道这么说听起来有点偏执，但我还是继续说吧，不要用这些额外的技能、动作、附加功能，或者你想用你的聪明的演讲者来称呼它们的任何东西。这些永远在线的设备，或者至少是能够记录你所说的话的设备，为你的隐私开辟了全新的方法，我仍然坚信，没有任何附加的东西，甚至连一些搞笑的笑话技巧或惊人的占星术动作，都是值得冒险的。你的智能扬声器足够智能。除非你完全相信你所添加的东西，否则你不需要额外的麻烦（或焦虑）。