Специалист по кибербезопасности обнаружил серьёзную брешь в системе Meta* AI, которая позволяла злоумышленникам получать доступ к чужим запросам и ответам без разрешения.
Сандип Ходкасиа, эксперт в области кибербезопасности и основатель компании AppSecure, сообщил о проблеме в Meta. В качестве вознаграждения за обнаружение уязвимости он получил 10 000 долларов в рамках программы поощрения за выявление проблем в безопасности.
Читайте также
Согласно информации, предоставленной TechCrunch, Ходкасиа обнаружил проблему 26 декабря 2024 года во время исследования системы редактирования запросов в Meta AI. Он выяснил, что серверы компании присваивают уникальные идентификаторы каждому запросу и ответу. В ходе исследования Ходкасиа обнаружил, что можно подделать этот идентификатор в сетевом запросе и получить доступ к чужим диалогам с искусственным интеллектом.
Проблема заключалась в том, что не было механизмов проверки прав доступа к конкретным запросам. Ходкасиа отметил, что идентификаторы были предсказуемыми, что позволяло злоумышленникам собирать данные с помощью автоматического перебора комбинаций.
Компания Meta устранила проблему 24 января 2025 года. Представитель компании Райан Дэниелс подтвердил TechCrunch, что на данный момент нет доказательств того, что уязвимость была использована злоумышленниками.
Этот инцидент произошёл на фоне быстрого развития продуктов на основе искусственного интеллекта, где вопросы информационной безопасности становятся всё более важными. Ранее Meta уже сталкивалась с негативной реакцией общественности из-за скандала, связанного с публикацией приватных диалогов с чат-ботами, которые пользователи ошибочно считали защищёнными от несанкционированного доступа, пишет 3dnews.
*Входит в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»