亚马逊一直试图将其支持Alexa的智能音箱作为一个平台来推广，并吹嘘其拥有的第三方“技能”数量之多（最新统计超过10万）。根据我们的经验，这些技能中的大多数都是无用的噱头；一个音符会让你装了就忘了。但事实证明，它们也可能对隐私构成威胁。

北卡罗莱纳州和德国波鸿鲁尔大学的研究人员首次对Alexa的skill生态系统中的隐私漏洞进行了大规模研究。他们发现了一些令人担忧的问题，特别是在亚马逊用来检查每项技能完整性的审查过程中。以下是他们调查结果的简要总结：

• 激活错误的技能。自2017年以来，如果用户提出正确的问题（又称“调用短语”），Alexa将自动启用技能。但研究人员发现，仅在美国商店里，就有9948种重复调用短语的技能。这意味着如果你问Alexa“空间事实”，例如，它会自动启用使用这个短语的众多技能之一。如何选择这种技能是一个完全的谜，但它很可能会导致用户激活错误或不想要的技能。
• 假名出版技巧。当你安装一项技能时，你可以检查开发人员的名字以确保它的可信度。但研究人员发现，亚马逊审查开发人员身份的过程并不十分安全。他们能够以微软和三星等大公司的名义发布技能。攻击者可以很容易地发布假装来自知名公司的技能。
• 发布后更改代码。研究人员发现，发布者可以在发布后对skills使用的后端代码进行更改。这并不意味着他们可以改变一项技能去做任何事情，但他们可以利用这个漏洞将可疑的行为转化为技能。因此，例如，您可以发布一项儿童技能，在更改后端代码以请求敏感信息之前，该技能将由Amazon的安全团队进行验证。
• 宽松的隐私政策。隐私政策应该告知用户他们的数据是如何被收集和使用的，但是亚马逊不需要技能来制定相应的政策。研究人员发现，只有28.5%的美国技能拥有有效的隐私政策，而针对儿童的技能这一数字更低——只有13.6%。

所有这些发现都不能证明Alexa从看不见的数据中抽取数据的特殊技巧。但它们共同描绘了一幅令人担忧的画面，显示亚马逊对隐私问题的关注。考虑到这一点，现在可能是一个很好的时机来修剪Alexa技能，你已经在你的设备上启用。

你可以通过Alexa应用程序，或者更简单的是，通过web。去吧alexa.amazon.com，登录到您的亚马逊帐户，单击侧边栏上的“技能”，然后单击右上角的“您的技能”，并禁用您不使用的任何技能。我刚刚检查了我自己的帐户，发现我有30多个安装从各种测试多年来。现在已经降到了健康的三分之一。

我们只能希望亚马逊今后对这一领域给予更多关注。ZDNet的一位发言人在给ZDNet的评论中说，“我们的设备和服务的安全是重中之重”，该公司定期进行审查，以识别和删除恶意技能。也许有些协议需要更新。