Meta усунула вразливість, яка дозволяла доступ до приватних розмов у Meta AI

Компанія Meta усунула вразливість у своєму чат-боті Meta AI, яка дозволяла доступ до приватних розмов інших користувачів. Проблему виявив дослідник кібербезпеки Сандіп Ходкасія, що викликало серйозні сумніви щодо безпеки платформи у 2025 році.

Як вразливість у Meta AI дозволяла зламувати приватні чати

Вразливість виявив Сандіп Ходкасія, засновник фірми з кібербезпеки AppSecure, який повідомив про неї компанії Meta 26 грудня 2024 року, отримавши винагороду в розмірі $10 000 за розкриття приватної інформації. Мета вирішила проблему майже через місяць, 24 січня 2025 року.

Ходкасія зазначив, що вада була пов’язана з тим, як Meta AI керував редагуванням підказок. Користувачі можуть змінювати минулі підказки, щоб створити новий текст або зображення. Коли підказка редагується, система присвоює їй унікальний ідентифікатор, але Ходкасія виявив, що зміна цього ідентифікатора може розкрити підказки та відповіді інших користувачів без дозволу.

Чому це стало можливим: прості ідентифікатори та відсутність контролю доступу

Основна проблема полягала в недостатньому контролі доступу. Сервери Meta не могли перевірити, чи має користувач дозвіл на доступ до конкретної підказки. Ходкасія зазначив, що ідентифікаційні номери були простими та легко передбачуваними, що дозволяло вгадувати або автоматизувати доступ до чужої інформації.

У січні Meta підтвердила виправлення помилки. Представник компанії Райан Деніелс заявив TechCrunch: “Ми не знайшли жодних доказів зловживань і винагородили дослідника”.

Хоча вразливість не була використана, вона підкреслює небезпеку, пов’язану зі швидким розвитком ШІ. Компанії наввипередки впроваджують рішення зі штучним інтелектом, але багато хто з них не звертає уваги на критичні питання конфіденційності та безпеки.

Загроза приватності Meta AI в еру штучного інтелекту

Запущений на початку цього року додаток Meta AI має на меті конкурувати з такими відомими платформами, як ChatGPT, але його розгортання зіткнулося з різними проблемами, в тому числі з ненавмисним публічним розкриттям приватних чатів. Ця нещодавня вразливість викликає додаткові сумніви щодо здатності платформи захищати дані користувачів.

Експерти підкреслюють, що подібні інциденти демонструють необхідність ретельного тестування перед розгортанням інструментів штучного інтелекту. Висновки Ходкасії ілюструють, як незначні помилки в кодуванні можуть призвести до витоку конфіденційних даних.

Висновки: чому безпека має бути пріоритетом для AI-компаній

Хоча компанія Meta швидко виправила ситуацію, не варто забувати про постійну пильність. Оскільки додатки зі штучним інтелектом стають все більш поширеними, потенційні наслідки порушень безпеки можуть значно зрости.