En läcka i Meta AI har avslöjat en allvarlig integritetsbrist i Metas chattbotssystem. Under en kort period kunde användare se andra människors promptar och AI-genererade svar – allt på grund av en osäker sårbarhet i backend-systemet.
Meta har sedan dess åtgärdat problemet. Men cybersäkerhetsexperter menar att sårbarheten bör ses som en varning till alla företag som erbjuder AI-chattbotar.
Så fungerade sårbarheten
Sandeep Hodkasia, grundare av säkerhetsföretaget AppSecure, upptäckte felet i december 2024. När han experimenterade med Meta AIs funktion för att omformulera promptar analyserade han nätverkstrafiken och lade märke till något ovanligt.
När en användare modifierade en prompt, tilldelade Metas backend ett unikt nummer. Men det numret var förutsägbart. Genom att ändra det kunde Hodkasia hämta data från andra användare – inklusive både prompt och AI-svar.
Metas system kontrollerade inte om den som begärde datan hade behörighet att se den.
Meta svarar
Hodkasia rapporterade ansvarsfullt sårbarheten till Meta den 26 december. Företaget åtgärdade felet den 24 januari och belönade honom med 10 000 dollar i bug bounty.
En talesperson för Meta bekräftade att problemet hade lösts och att det inte finns några bevis för att felet utnyttjats. Men exponeringen varade tillräckligt länge för att väcka frågor om företagets interna testning och användarskydd.
Ytterligare ett integritetsproblem
Detta var inte det enda integritetsproblemet för Meta på kort tid. Bara några veckor tidigare upptäckte användare att Meta AI oavsiktligt kunde publicera privata chattbot-konversationer i offentliga flöden. Meta svarade med att lägga till en varning som meddelar användare när de håller på att publicera något offentligt.
De två incidenterna i följd tyder på att Meta kan behöva stärka sina integritetsrutiner kring AI-tjänster.
Slutsats
Läckan i Meta AI visar hur skört dataskyddet kan vara i AI-eran. Ett enkelt backend-fel avslöjade privata konversationer som användare trodde var säkra. När AI-verktyg blir en allt större del av våra liv, måste företag säkerställa att användarnas data förblir privat – oavsett hur snabbt tekniken utvecklas.
0 svar till ”Meta AI-läcka avslöjade privata promptar på grund av säkerhetsbrist”