En læk i Meta AI har afsløret en alvorlig privatlivsfejl i Metas chatbot-system. I en kort periode kunne brugere se andres forespørgsler og AI-genererede svar – alt sammen på grund af en usikker bagend-sårbarhed.
Meta har siden rettet problemet. Men cybersikkerhedseksperter siger, at denne fejl er en advarsel til alle virksomheder, der tilbyder AI-chatbot-tjenester.
Sådan fungerede sårbarheden
Sandeep Hodkasia, grundlægger af sikkerhedstestfirmaet AppSecure, opdagede problemet i december 2024. Under eksperimenter med Meta AIs funktion til at regenerere forespørgsler analyserede han netværkstrafikken og lagde mærke til noget mærkeligt.
Når en bruger ændrede en forespørgsel, tildelte Metas bagend den et unikt nummer. Men det nummer kunne gættes. Ved at ændre det kunne Hodkasia hente data fra andre brugere – inklusive både forespørgsler og svar.
Metas system tjekkede ikke, om den anmodende bruger havde tilladelse til at se oplysningerne.
Meta reagerer
Hodkasia rapporterede ansvarligt fejlen til Meta den 26. december. Virksomheden lappede sårbarheden den 24. januar og belønnede ham med en bug bounty på $10.000.
En talsperson fra Meta bekræftede rettelsen og udtalte, at der ikke er noget, der tyder på, at fejlen blev udnyttet. Alligevel varede eksponeringen længe nok til at rejse spørgsmål om virksomhedens interne test og brugerbeskyttelse.
Anden privatlivsfejl på få uger
Det er ikke første gang, Meta for nyligt har haft en privatlivsfejl. Få uger tidligere opdagede brugere, at Meta AI utilsigtet kunne offentliggøre private chatbot-interaktioner på offentlige feeds. Meta reagerede ved at tilføje en advarsel, der informerer brugerne, når de er ved at poste noget offentligt.
Disse gentagne hændelser tyder på, at virksomheden muligvis har brug for stærkere privatlivsprotokoller for sine AI-tjenester.
Konklusion
Meta AI-lækken viser, hvor skrøbeligt dataprivatliv kan være i AI-alderen. En simpel fejl i bagenden eksponerede private samtaler, som brugerne troede var sikre. Efterhånden som AI-værktøjer bliver en større del af vores hverdag, må virksomheder sikre, at brugernes data forbliver private – uanset hvor hurtigt innovationen bevæger sig.
0 svar til “Meta AI-læk afslørede private forespørgsler på grund af sikkerhedsfejl”