3月19日晚，百度针对“谢广军女儿开盒”事件发布声明，称相关信息并非来源于百度。经过调查，开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。相关调查过程已取证，并得到公证机关公证。此前，据媒体报道，百度副总裁谢广军在回应中提到，女儿系从海外社群网站上获得他人隐私信息并发布。

陕西恒达律师事务所高级合伙人、公益律师赵良善认为，“开盒”获取他人信息侵犯了他人的个人隐私及个人信息权，涉及民事、行政与刑事法律责任。民法典第111条明确规定，自然人的个人信息受法律保护，任何组织或者个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。根据治安管理处罚法第42条规定，散布他人隐私的行为将面临拘留或罚款。若违法所得达5000元以上，或者提供公民个人信息达到一定数量，则涉嫌侵犯公民个人信息罪。

此前，有报道揭示了“开盒”社交媒体群的情况。在以“开盒”为核心的海外社交媒体群中，起到“开盒”作用的工具多被称为“社工库”。这些社工库声称可以根据部分身份信息获取更多相关个人隐私内容，包括快递外卖地址、本人户籍及家人户籍等。在一个网络技术交流平台上，有人曾总结流行的“社工库”账号，每个“社工库”均关联一个海外社交媒体账号或群聊。记者进入多个“社工库”账号后发现，其基本模式包括群聊、机器人及客服三种情况。在群聊中，由运营者发布可供查询的信息类型范围、参考结果模板等；机器人负责处理简单的查询业务；客服则负责处理更复杂的业务。用户可以通过推广等方式免费获取积分，用以兑换查询额度。此外，不少“社工库”群聊中还夹杂着其他涉赌、涉贷黑灰产广告，以此引流至其他业务。

《通信企业管理》期刊刊发的文章《社工库信息泄露事件对加强数据安全防护的启示》指出，2023年2月，国外社交媒体群聊大面积转发一社工库查询机器人链接，网传该机器人泄露了数十亿条个人信息，以快递信息为主。文章称，非法获取敏感个人信息并用于营利为目的的活动已形成有组织、分工明确的“网络黑色产业链”。上游为提供技术支持的黑客或泄露敏感个人信息的“内鬼”，中游为社工库运营方，下游则是实施“黑产”犯罪行为（如诈骗、洗钱、骗贷）的团伙。文章建议摸排“黑产”社工库情况。

华侨大学一篇硕士专业学位论文提出，随着互联网安全技术的发展，越来越多的入侵者采用人为因素变相地创造漏洞进行攻击，扩大了社会工程学的应用范围。北京邮电大学一篇博士学位论文称，社会工程学主要是指利用欺骗手段诱使他人泄露个人信息，尤其是在很多不知情的情况下未经授权访问计算机系统或网络。社会工程攻击可以分为三类，其中一类为“基于技术的攻击”，是通过互联网社交网络或在线服务网站进行攻击，收集攻击目标的敏感信息。