Meta 已修復一項安全漏洞,該漏洞允許 Meta AI 聊天機器人使用者存取並檢視其他使用者的私密提示詞及 AI 生成回應。安全測試公司 AppSecure 的創辦人 Sandeep Hodkasia 向 TechCrunch 獨家表示,Meta 已向他支付一萬美元作為漏洞賞金,以表彰他於 2024 年 12 月 26 日私下披露此漏洞。Hodkasia 指出,Meta 於 2025 年 1 月 24 日部署了修復方案,且未發現任何證據顯示該漏洞被惡意利用。Hodkasia 在檢視 Meta AI 如何允許登入使用者編輯提示詞以重新生成文字和影象後發現此問題。他發現當使用者編輯提示詞時,Meta 的後端伺服器會為提示詞及其 AI 生成回應分配唯一編號。透過分析瀏覽器中的網路流量,Hodkasia 發現他可以更改該唯一編號,導致伺服器返回完全屬於他人的提示詞及回應。此漏洞意味著 Meta 的伺服器未正確驗證請求提示詞及其回應的使用者是否獲授權檢視。Hodkasia 表示,Meta 伺服器生成的提示詞編號「極易猜測」,可能允許惡意行為者使用自動化工具快速更改提示詞編號,從而爬取使用者的原始提示詞。當 TechCrunch 聯絡 Meta 時,Meta 確認已在 1 月修復了該漏洞,且公司發言人 Ryan Daniels 表示,Meta 發現沒有濫用跡象並已獎勵該研究者。此訊息發布於科技巨頭正努力推出並完善其 AI 產品,儘管伴隨許多安全與隱私風險的時期。Meta AI 的獨立應用程式於今年早些時候推出以與 ChatGPT 等競爭對手抗衡,但初期表現艱難,因為部分使用者不慎公開分享了他們以為是私密對話的內容。
Meta修復可能洩露用戶AI提示與生成內容的漏洞
分享這篇文章: