Meta* устранила ошибку, из-за которой могли происходить утечки пользовательских запросов и сгенерированного контента
Компания Meta устранила уязвимость в системе безопасности, которая позволяла пользователям чат-бота Meta AI получать доступ к личным запросам и ответам других пользователей, сгенерированным искусственным интеллектом, и просматривать их.
Сандип Ходкасия, основатель компании по тестированию безопасности AppSecure, эксклюзивно сообщил TechCrunch, что Meta заплатила ему 10 000 долларов в качестве вознаграждения за обнаружение ошибки, о которой он сообщил в конце 2024 года.
Meta выпустила исправление в начале 2025 года, сообщила компания Hodkasia, и не обнаружила никаких доказательств того, что ошибка использовалась злоумышленниками.
Ходкасия рассказал TechCrunch, что обнаружил ошибку, изучив, как Meta AI позволяет авторизованным пользователям редактировать повторные запросы к ИИ для создания текста и изображений. Он обнаружил, что, когда пользователь редактирует запрос, внутренние серверы Meta присваивают запросу и сгенерированному ИИ ответу уникальный номер. Проанализировав сетевой трафик в своём браузере во время редактирования запроса к ИИ, Ходкасия обнаружил, что может изменить этот уникальный номер, и серверы Meta получат запрос и ответ от ИИ, сгенерированный для другого человека.
Проблема состояла в том, что серверы Meta не проводили должную проверку прав доступа пользователей к просмотру. Ходкасия отметил, что номера запросов, создаваемые серверами Meta, можно легко угадать, что даёт возможность злоумышленникам быстро собирать исходные запросы пользователей, используя автоматизированные инструменты для изменения номеров запросов. Ходкасия сказал, что номера запросов, генерируемые серверами Meta, «легко угадываются», что потенциально позволяет злоумышленникам собирать исходные запросы пользователей, быстро меняя номера
Читать на habr.com