近期,社交媒体巨头meta公布了一项关于其AI聊天机器人的重大安全事件处理进展。据悉,一个能够暴露用户私人提示及AI生成内容的漏洞已被成功修补。这一漏洞的发现归功于安全测试专家Sandeep Hodkasia,他是AppSecure公司的创始人。由于Hodkasia在发现漏洞后,选择于2024年圣诞假期后的12月26日私下向meta报告,因此获得了公司颁发的1万美元奖金。
在接受TechCrunch访问时,Hodkasia透露,他是在对meta AI功能进行深度剖析时偶然发现了这一安全隐患。meta AI系统原本设计为用户可编辑AI提示以生成文本和图像,但在实际操作中,后端服务器为每个提示及其响应分配的唯一标识符存在安全漏洞。Hodkasia通过监控编辑提示时的网络流量,发现只需简单修改这一标识符,即可获取其他用户的私人提示及AI生成内容。
该漏洞的本质在于,meta服务器未能有效验证请求提示和响应的用户身份。Hodkasia强调,这些标识符“极易被预测”,恶意用户可能利用自动化脚本快速变换标识符,大量获取其他用户的原始提示信息。
meta官方确认,这一漏洞已在2025年1月24日得到修复,并强调公司“尚未发现该漏洞被滥用的迹象,同时对研究者的贡献给予了奖励”。meta发言人Ryan Daniels在采访中提及,随着AI技术的快速发展,各大科技公司推出的AI产品日益增多,伴随而来的安全和隐私问题也日益严峻。
meta AI独立应用在今年早些时候面世,旨在与ChatGPT等同类产品展开竞争。然而,自推出以来,该应用便遭遇波折,部分用户不慎将与聊天机器人的私人对话内容公之于众,进一步加剧了公众对其隐私保护的担忧。
