Problema de securitate rezolvată de Meta
Meta a corectat o vulnerabilitate de securitate care permitea utilizatorilor chatbot-ului Meta AI să acceseze și să vizualizeze sugestiile private și răspunsurile generate de AI ale altor utilizatori.
Descoperirea vulnerabilității
Sandeep Hodkasia, fondatorul firmei de testare a securității Appsecure, a declarat că Meta i-a oferit 10.000 de dolari ca recompensă pentru raportarea acestei probleme, pe care a depus-o pe 26 decembrie 2023.
Meta a implementat o soluție pe 24 ianuarie 2024, iar Hodkasia a menționat că nu a găsit dovezi că vulnerabilitatea a fost exploatată în mod malițios.
Modul de funcționare al bug-ului
Hodkasia a identificat bug-ul examinând modul în care Meta AI permite utilizatorilor conectați să editeze sugestiile AI pentru a regenera text și imagini. A descoperit că, atunci când un utilizator își editează sugestia, serverele de back-end ale Meta îi atribuie acesteia un număr unic. Analizând traficul de rețea din browser în timp ce edita o sugestie AI, Hodkasia a constatat că putea modifica acel număr unic, iar serverele Meta returnau o sugestie și un răspuns generat de AI complet diferite.
Vulnerabilitatea a făcut ca serverele Meta să nu verifice corect dacă utilizatorul care solicita sugestia și răspunsul era autorizat să le vadă. Hodkasia a menționat că numerele de sugestie generate de serverele Meta erau „ușor de ghicit”, permițând astfel unui actor malițios să extragă sugestiile originale ale utilizatorilor prin modificarea rapidă a numerelor de sugestie cu ajutorul unor instrumente automate.
Confirmarea și reacția Meta
Când a fost contactat, un purtător de cuvânt al Meta a confirmat că vulnerabilitatea a fost remediată în ianuarie și că compania „nu a găsit dovezi de abuz și l-a recompensat pe cercetător”.
Contextul lansării Meta AI
Știrile despre vulnerabilitate apar într-un moment în care gigantii tehnologici se străduiesc să lanseze și să îmbunătățească produsele lor AI, în ciuda numeroaselor riscuri de securitate și confidențialitate asociate utilizării acestora. Aplicația independentă Meta AI, care a debutat în acest an pentru a concura cu aplicații rivale precum ChatGPT, a avut un start dificil după ce unii utilizatori au împărtășit din greșeală ceea ce credeau că erau conversații private cu chatbot-ul.
Concluzie
Remedierea acestei vulnerabilități este esențială pentru protecția datelor utilizatorilor și pentru consolidarea încrederii în produsele AI ale Meta, în contextul intensificării competiției în domeniul tehnologic.
