最近、メタ社はそのAIチャットボットに影響を与える重大なセキュリティ脆弱性を修正したことを発表しました。この脆弱性により、ユーザーが他のユーザーのプライベートなプロンプトやAIによって生成されたコンテンツにアクセスできる可能性がありました。この脆弱性を発見した安全テスト会社AppSecureの創業者であるSandeep Hodkasia氏は、2024年12月26日にこの脆弱性を個人的に公開したため、メタから1万ドルの報酬を受け取りました。

Hodkasia氏はTechCrunchへのインタビューで、メタAIの機能を詳細に調査している際にこの脆弱性を発見したと語りました。このシステムでは、ユーザーがAIプロンプトを編集し、テキストや画像を生成することが可能です。しかし、このプロセスにおいて、メタのバックエンドサーバーは各プロンプトとその応答にユニークな番号を割り当てていました。ブラウザのネットワークトラフィックを分析することで、Hodkasia氏はこのユニークな番号を簡単に変更できることを発見し、メタのサーバーが他のユーザーのプロンプトや生成されたコンテンツを返すようになったのです。

メタ、メタバース、Facebook

この脆弱性により、メタのサーバーがプロンプトや応答のリクエストを行うユーザーの身分を適切に検証していなかったことが明らかになりました。Hodkasia氏は、これらのプロンプト番号が「非常に推測されやすい」と指摘し、悪意のある攻撃者は自動化ツールを使用して迅速に番号を変更し、他のユーザーの元のプロンプト内容を取得する可能性があると述べました。

メタは、この脆弱性が2025年1月24日に修正されたことを確認しており、「不正利用の証拠は見つかっていない」としながらも、研究者に対して報酬を支払ったと述べています。メタのスポークスマンであるRyan Daniels氏はインタビューで、「大手テクノロジー企業がそれぞれのAI製品を発表および改善している中で、セキュリティとプライバシーのリスクがますます顕在化しています」と語りました。

メタAIの独立アプリケーションは今年の早い段階でリリースされ、ChatGPTなどの競合他社と対等に勝負するためのものです。しかし、このアプリケーションはリリース当初からいくつかの問題を抱えており、一部のユーザーがチャットボットとのプライベートな会話を誤って公開してしまったという報告もあります。