近期,社交媒體巨頭meta公布了一項關于其AI聊天機器人的重大安全事件處理進展。據悉,一個能夠暴露用戶私人提示及AI生成內容的漏洞已被成功修補。這一漏洞的發現歸功于安全測試專家Sandeep Hodkasia,他是AppSecure公司的創始人。由于Hodkasia在發現漏洞后,選擇于2024年圣誕假期后的12月26日私下向meta報告,因此獲得了公司頒發的1萬美元獎金。
在接受TechCrunch訪問時,Hodkasia透露,他是在對meta AI功能進行深度剖析時偶然發現了這一安全隱患。meta AI系統原本設計為用戶可編輯AI提示以生成文本和圖像,但在實際操作中,后端服務器為每個提示及其響應分配的唯一標識符存在安全漏洞。Hodkasia通過監控編輯提示時的網絡流量,發現只需簡單修改這一標識符,即可獲取其他用戶的私人提示及AI生成內容。
該漏洞的本質在于,meta服務器未能有效驗證請求提示和響應的用戶身份。Hodkasia強調,這些標識符“極易被預測”,惡意用戶可能利用自動化腳本快速變換標識符,大量獲取其他用戶的原始提示信息。
meta官方確認,這一漏洞已在2025年1月24日得到修復,并強調公司“尚未發現該漏洞被濫用的跡象,同時對研究者的貢獻給予了獎勵”。meta發言人Ryan Daniels在采訪中提及,隨著AI技術的快速發展,各大科技公司推出的AI產品日益增多,伴隨而來的安全和隱私問題也日益嚴峻。
meta AI獨立應用在今年早些時候面世,旨在與ChatGPT等同類產品展開競爭。然而,自推出以來,該應用便遭遇波折,部分用戶不慎將與聊天機器人的私人對話內容公之于眾,進一步加劇了公眾對其隱私保護的擔憂。
