Meta оперативно устранила серьезную уязвимость в своей системе, которая позволяла пользователям видеть личные запросы и ответы других людей от чат-бота Meta AI. Об этом сообщил эксперт по кибербезопасности и основатель компании AppSecure Сандип Ходкасия.
Уязвимость была устранена 24 января 2025 года.
Он обнаружил брешь в безопасности в декабре 2024 года и получил 10000 долларов в рамках программы вознаграждения за найденные ошибки (bug bounty). По его словам, проблема заключалась в том, как Meta AI обрабатывает редактирование запросов.
Каждый новый запрос и ответ от ИИ получал уникальный номер, который можно было легко изменить вручную. Изменяя этот ID в сетевом трафике браузера, Ходкасия смог получить доступ к чужим диалогам.
Уязвимость была устранена 24 января 2025 года. Meta утверждает, что не нашла доказательств того, что ошибка была использована злоумышленниками. Но потенциальная угроза все же была значительной: с помощью автоматизированных скриптов можно было массово собирать чужие запросы к ИИ и полученные ответы.
Это не первая проблема с приватностью в новом продукте Meta AI, который должен конкурировать с ChatGPT и аналогичными решениями. Ранее пользователи случайно публиковали личные диалоги с ботом, не подозревая, что они становятся публичными.
Источник: TechCrunch