Meta AI’nın diğer kullanıcıların chatbot ile özel görüşmelerine erişmek için kullanılabilecek bir güvenlik açığı olduğu bildirildi. Bu hataya erişmek Meta’nın sunucularına girmeyi veya uygulamanın kodunu manipüle etmeyi gerektirmedi; Bunun yerine, sadece ağ trafiğini analiz ederek tetiklenebilir. Rapora göre, bir araştırmacı hatayı geçen yılın sonlarında buldu ve Menlo Park merkezli sosyal medya devini bu konuda bilgilendirdi. Şirket daha sonra Ocak ayında konuya bir düzeltme yaptı ve araştırmacıyı istismar bulmak için ödüllendirdi.
Bir TechCrunch’a göre raporMeta AI güvenlik açığı, bir güvenlik check firması AppSecure’un kurucusu Sandeep Hodkasia tarafından keşfedildi. Araştırmacının Meta’yı Aralık 2024’te bu konuda bilgilendirdiği ve 10.000 dolarlık bir hata ödül ödülü aldığı bildirildi (kabaca Rs. 8.5 lakh). Meta sözcüsü Ryan Daniels yayına sorunun Ocak ayında düzeltildiğini ve şirketin kötü aktörler tarafından kullanılan yöntem hakkında herhangi bir kanıt bulamadığını söyledi.
Güvenlik açığının, Meta AI’nın kullanıcı istemlerini sunucularında nasıl ele aldığı bildirildi. Araştırmacı, yayında AI Chatbot’un, giriş yapmış bir kullanıcı bir görüntüyü veya metni yeniden düzenleme istemini düzenlemeye çalıştığında, her isteme ve AI tarafından oluşturulan yanıtlarına benzersiz bir kimlik atadığını söyledi. Genel kullanım durumunda, çoğu insan daha iyi bir yanıt veya istenen bir görüntü almaya çalıştığı için bu tür olaylar çok yaygındır.
Hodkasia, bir AI istemini düzenlerken tarayıcıdaki ağ trafiğini analiz ederek benzersiz numarasına erişebileceğini bildirdi. Daha sonra, numarayı değiştirerek, araştırmacı başkasının istemine erişebilir ve AI yanıtını belirledi. Araştırmacı, bu sayıların “kolayca tahmin edilebilir” olduğunu ve başka bir meşru kimlik bulmanın fazla çaba gerektirmediğini iddia etti.
Esasen, güvenlik açığı AI sisteminin bu benzersiz kimliklerin yetkisini ele alma biçiminde vardı ve bu verilere kimin eriştiğini kontrol etmek için yeterli güvenlik önlemi vermedi. Bu, kötü bir aktörün elinde, bu yöntemin kullanıcıların büyük miktarda özel verilerinden ödün verebileceği anlamına gelir.
Özellikle, geçen ay bir rapor, Meta AI uygulamasının Uncover Feed’in Chatbot ile özel görüşmeler gibi görünen yayınlarla dolu olduğunu buldu. Bu mesajlar tıbbi ve yasal tavsiye istemek ve hatta suçları itiraf etmek içeriyordu. Haziran ayının ilerleyen saatlerinde şirket, insanları bilmeden konuşmalarını paylaşmasını caydırmak için bir uyarı mesajı göstermeye başladı.
