Krytyczna luka w Meta AI ujawnia prywatne monity użytkowników
Meta AI, chatbot mający konkurować z gigantami takimi jak ChatGPT, był przez krótki czas podatny na poważny błąd bezpieczeństwa. Luka ta, odkryta przez Sandeepa Hodkasię, założyciela firmy konsultingowej Appsecure, pozwalała każdemu zalogowanemu użytkownikowi na dostęp do prywatnych promptów i wygenerowanych treści stworzonych przez innych użytkowników platformy.
Hodkasia ujawnił, że 26 grudnia 2024 roku zgłosił ten problem Meta, za co otrzymał 10 000 dolarów w ramach programu bug bounty. Spółka wdrożyła poprawkę 24 stycznia 2025 roku. Co ważne, Meta potwierdziła, że nie znaleziono żadnych dowodów na złośliwe wykorzystanie luki przed jej naprawą.
Problem polegał na sposobie, w jaki Meta AI zarządzała edycją promptów. Hodkasia, analizując ruch sieciowy podczas edytowania własnych zapytań, zauważył, że Meta przypisuje unikalny numer do każdego promptu i odpowiadającej mu treści. Zmieniając ten identyfikator, mógł uzyskać dostęp do treści stworzonych przez innych użytkowników. Oznacza to, że serwery Meta nie weryfikowały odpowiednio uprawnień użytkownika do przeglądania konkretnych danych. Należy dodać, że te „unikalne” numery były łatwe do odgadnięcia, co stwarzało ryzyko masowego zgarniania danych poprzez automatyczne narzędzia.
Odkrycie to ponownie stawia pytania o priorytety firm technologicznych, które masowo wprowadzają na rynek produkty AI. Szybkie tempo rozwoju często wiąże się z niedostateczną dbałością o prywatność i bezpieczeństwo danych. Przypadek Meta AI nie jest odosobniony – niedawno aplikacja stanęła w obliczu kontrowersji, gdy użytkownicy nieświadomie udostępniali publicznie prywatne konwersacje z chatbotem, co dodatkowo obnażyło istniejące niedopatrzenia.
Chociaż Meta szybko zareagowała na zgłoszenie Hodkasi i naprawiła błąd, cała sytuacja podkreśla, jak kluczowe jest niezależne badanie bezpieczeństwa w dynamicznie rozwijającym się ekosystemie sztucznej inteligencji, gdzie nowe funkcjonalności często przewyższają mechanizmy zabezpieczające.
