Meta исправила серьезную уязвимость в своем чат-боте Meta AI, которая позволяла пользователям получать доступ к приватным запросам и ответам, сгенерированным искусственным интеллектом другими людьми.
Об этом сообщает ProIT
Детали обнаружения и устранения проблемы
Об этой уязвимости сообщил Сандип Ходкасия, основатель компании AppSecure, занимающейся тестированием безопасности. Он получил от Meta вознаграждение в размере 10 000 долларов за приватное раскрытие недостатка, который был обнаружен 26 декабря 2024 года.
По словам Ходкасии, Meta выпустила обновление для устранения уязвимости 24 января 2025 года. Компания провела расследование и не нашла доказательств того, что злоумышленники воспользовались этой ошибкой.
Механизм работы уязвимости
Ходкасия обнаружил ошибку во время анализа того, как пользователи Meta AI могут редактировать свои запросы для повторной генерации текста или изображений. Он выяснил, что после каждого редактирования серверы Meta назначают каждому запросу и ответу уникальный номер. Исследуя сетевой трафик, он заметил, что изменяя этот номер, можно получить доступ к запросам и ответам других людей.
“Эта уязвимость возникла из-за того, что серверы Meta не проверяли должным образом авторизацию пользователя, который запрашивал доступ к запросу и ответу. Кроме того, номера запросов были слишком простыми для подбора, что теоретически позволяло автоматизированным инструментам массово получать приватные данные других пользователей”, — рассказал Ходкасия.
Meta подтвердила факт устранения ошибки и подчеркнула, что никаких подтверждений злоупотребления этой уязвимостью не зафиксировано. Исследователю было выплачено вознаграждение за обнаружение проблемы, сообщил представитель компании Райан Дэниелс.
Контекст ситуации и запуск Meta AI
Случай с уязвимостью был обнаружен в период напряженной конкуренции среди технологических гигантов, которые массово запускают и совершенствуют свои продукты с искусственным интеллектом, сталкиваясь с многочисленными рисками безопасности и конфиденциальности.
Отдельная программа Meta AI, которая была запущена в начале этого года для конкуренции с ChatGPT, с самого начала столкнулась с проблемами — часть пользователей случайно раскрывала личные разговоры с чат-ботом, считая их приватными.