Tehnoloģiju gigants Meta (beidzot) novērš drošības kļūdu, kas atklāja citu lietotāju privātos Meta AI čatbotu pieprasījumus.
Šķiet, ka Markam Zakerbergam piederošais tehnoloģiju gigants Meta dievina atrasties ar datu privātumu saistītos skandālos. Proti, uzņēmums nesen novērsa nopietnu, turklāt ieilgu drošības ievainojamību, kas ļāva Meta AI čatbota lietotājiem piekļūt citu cilvēku privātiem pieprasījumiem un mākslīgā intelekta (MI) ģenerētajām atbildēm.
Drošības testēšanas uzņēmuma AppSecure dibinātājs Sandīps Hodkasia ziņu aģentūrai TechCrunch atklāja, ka Meta viņam samaksājusi 9300 eiro lielu atlīdzību (bug bounty) par kļūdas konfidenciālu atklāšanu.
Viņš ziņoja par problēmu 2024. gada 26. decembrī, bet tehnoloģiju gigants labojumus ieviesa manāmi vēlāk – 2025. gada 24. janvārī. Uzņēmums apgalvo, ka nav atrasts neviens pierādījums par kļūdas ļaunprātīgu izmantošanu.
Uz šīs būtiskās ievainojamības Hodkaisa uzgāja netīšām. Proti, viņš pētīja, kā Meta AI ļauj lietotājiem rediģēt savus pieprasījumus, lai ģenerētu tekstus un attēlus no jauna.
Viņš konstatēja, ka katrs rediģētais pieprasījums un tā MI atbilde serverī tiek apzīmēta ar unikālu numuru. Analizējot tīkla trafiku pārlūkprogrammā rediģēšanas laikā, Hodkasia atklāja, ka šo numuru ir iespējams mainīt un uzņēmuma serveri atgriezīs cita lietotāja pieprasījumu un atbildi.
Šī ievainojamība nozīmēja, ka uzņēmum nepārbaudīja, vai lietotājs, kas pieprasa konkrēto informāciju, vispār ir autorizēts to redzēt. Hodkasia norāda, ka šie identifikatori bijuši “viegli uzminami”. Tas varētu ļaut kādam ļaunprātīgam aktoram, piemēram, hakerim, automatizēti “izsūkt” citu lietotāju sākotnējos pieprasījumus, strauji mainot numurus.
Meta pārstāvis Raiens Danielss apstiprināja, ka kļūda tika novērsta janvārī. Tāpat viņš apgalvoja, ka uzņēmums “neatklāja ļaunprātīgu izmantošanu un atlīdzināja pētniekam par viņa ieguldījumu.”
Ziņas par šo starpgadījumu nāk klajā brīdī, kad tehnoloģiju giganti strauji ievieš un uzlabo savus MI produktus. Šo jauninājumu temps manāmi ignorē būtiskus drošības un privātuma riskus šo produktu patērētājiem.
Meta AI atsevišķā lietotne, kas debitēja šī gada sākumā, lai konkurētu ar, piemēram, ChatGPT, jau relīzes sākumā piedzīvoja neveiksmes, kad daļa lietotāju netīši publiski padalījās ar sarunām, ko bija domājuši kā privātas.
Avots: TechCrunch
