Κάποιος εντόπισε ένα ελάττωμα στην πλατφόρμα Meta ΑΙ και ανταμείφθηκε με 10.000 δολάρια

Πολύ πρόσφατα αντιμετωπίστηκε από την Meta ένα κρίσιμο κενό ασφαλείας που εξέθετε ιδιωτικά μηνύματα και απαντήσεις που δημιουργήθηκαν από την τεχνητή νοημοσύνη από το chatbot Meta AI σε άλλους χρήστες, αναφέρει το TechCrunch. Το πρόβλημα ανακαλύφθηκε από τον Sandeep Hodkasia, ιδρυτή της εταιρείας δοκιμών ασφαλείας AppSecure, ο οποίος ανέφερε την ευπάθεια τον Δεκέμβριο του 2024. Για την αποκάλυψή του, η Meta του απένειμε 10.000 δολάρια μέσω του προγράμματος bug bounty.

Το μόνο καλό είναι ότι εταιρεία επιβεβαίωσε ότι το σφάλμα έχει πλέον διορθωθεί και δήλωσε ότι δεν υπήρχαν ενδείξεις κακόβουλης εκμετάλλευσης. Ωστόσο, αυτό θα πρέπει να είναι ανησυχητικό για όλους όσους χρησιμοποιούν την Τεχνητή Νοημοσύνη χωρίς δεύτερη σκέψη.

Ο Hodkasia αποκάλυψε το ελάττωμα ενώ εξέταζε πώς η Τεχνητή Νοημοσύνη της Meta επιτρέπει στους συνδεδεμένους χρήστες να επεξεργάζονται προτροπές για την αναγέννηση απαντήσεων. Παρατήρησε ότι σε κάθε επεξεργασμένη προτροπή αντιστοιχιζόταν ένα μοναδικό αναγνωριστικό από τα συστήματα υποστήριξης του Meta. Παρακολουθώντας την κίνηση δικτύου κατά τη διάρκεια αυτής της διαδικασίας, συνειδητοποίησε ότι η τροποποίηση του αναγνωριστικού επέτρεπε την πρόσβαση στις προτροπές και τις απαντήσεις άλλων χρηστών. Το πρόβλημα προέκυψε από την αποτυχία του Meta να επικυρώσει εάν ένας χρήστης είχε εξουσιοδότηση να δει μια δεδομένη προτροπή. Σύμφωνα με τον Hodkasia, τα αναγνωριστικά ήταν προβλέψιμα, κάτι που θα μπορούσε να επιτρέψει στους εισβολείς να αυτοματοποιήσουν τη διαδικασία και να συλλέξουν ευαίσθητα δεδομένα χρήστη σε μεγάλη κλίμακα.

Παρά τις μεγάλες επενδύσεις της εταιρείας στην Τεχνητή Νοημοσύνη, η εφαρμογή Meta AI έχει δει περιορισμένη υιοθέτηση, με περίπου 6,5 εκατομμύρια λήψεις από την κυκλοφορία της στις 29 Απριλίου, σύμφωνα με την εταιρεία ανάλυσης εφαρμογών Appfigures.