文章总结： Fireflies.ai会议AI助手因API缺乏认证机制导致大规模数据泄露，暴露44个美国政府邮箱及200多场私人会议录音，涉及医疗、贸易、网络安全等敏感领域。该漏洞非配置错误而是产品本身无访问控制，会议ID可通过公开平台获取，所有数据仅需一次未认证API调用即可访问。 综合评分： 72 文章分类： 数据泄露,漏洞分析,应用安全,网络安全,威胁情报

fireflies公开美国政府邮箱和私人会议录音

原创

安全路人A 安全路人A

军机故阁

2026年4月24日 21:57 北京

在小说阅读器读本章

去阅读

问题来源@weezerOSINT：

Fireflies.ai是一个会议类的人工智能助手，Fireflies 已经融资超过 5000 万美元。主要功能是录制会议，转录对话，并总结所有讨论的内容。他们还发布了一个 API，但没有认证，服务于这些数据的接口。且这不是错误配置，而是一个没有访问控制功能的产品。

Fireflies.ai 里通过一个 API 找到了 44 封来自美国某城市机构的.gov 员工邮件。不需要登录和令牌。Fireflies的 GraphQL API 会向任何查询者返回完整的参与者邮件、会议录音和 AI 生成的摘要。

而且发现已有 200 多个会议 ID 被索引在 AlienVault OTX 和 Disney 等公开威胁情报平台上。这些会议来自全球各地的公司和机构，均可通过同一个无认证 API 查询。  Fireflies 通过电子邮件、Slack 和日历邀请发送会议链接。这些 URL 会被自动扫描器索引，会议 ID有很多方式来获取。

Fireflies 公开的一些会议完全没有认证：

• 美国政府机构会议（和平队、城市政府分支）
• 医疗公司会议
• 国家贸易委员会（印度国际工业联合会国家出口委员会）
• 提及迪士尼的企业战略会议
• 网络安全评估电话
• 人力资源开放注册会议，包含员工福利数据  所有创建者的邮件和会议数据均来自一次未经认证的 API 调用

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军机故阁 安全路人A 安全路人A《fireflies公开美国政府邮箱和私人会议录音》