%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
近日,Meta 公司宣佈修復了一項影響其 AI 聊天機器人的嚴重安全漏洞,該漏洞曾允許用戶訪問其他用戶的私人提示和 AI 生成的內容。此漏洞的發現者,安全測試公司 AppSecure 的創始人 Sandeep Hodkasia,因其在2024年12月26日私下披露該漏洞,獲得了 Meta 支付的1萬美元獎勵。
Hodkasia 在接受 TechCrunch 採訪時表示,他是在對 Meta AI 的功能進行深入研究時發現了這個漏洞。該系統允許用戶編輯他們的 AI 提示並生成文本和圖像,但在這個過程中,Meta 的後端服務器爲每個提示和其生成的響應分配了一個唯一的編號。通過分析他在編輯提示時瀏覽器的網絡流量,Hodkasia 發現,他可以輕易地修改這個唯一編號,導致 Meta 的服務器返回其他用戶的提示和生成內容。
這一漏洞意味着 Meta 的服務器沒有對請求提示和響應的用戶身份進行正確的驗證。Hodkasia 指出,這些提示編號是 “極易猜測” 的,惡意攻擊者可能會利用自動化工具快速更改編號,從而抓取其他用戶的原始提示內容。
Meta 確認該漏洞已於2025年1月24日被修復,並表示公司 “沒有發現濫用的證據,同時也對研究者進行了獎勵。”Meta 發言人 Ryan Daniels 在接受採訪時提到,隨着各大科技公司紛紛推出和改進自己的 AI 產品,安全和隱私風險也變得愈發突出。
Meta AI 的獨立應用於今年早些時候發佈,旨在與 ChatGPT 等競爭對手一較高下。然而,該應用在上線初期就遇到了一些問題,有用戶誤將其與聊天機器人的私人對話公開分享。