Meta 修复重大漏洞 防止 AI 提示和生成内容泄露

Meta 修复了一个可能导致用户访问其他用户私密聊天记录和 AI 生成内容的安全漏洞。据安全测试公司 AppSecure 的创始人 Sandeep Hodkasia 称，该漏洞是在他于 2024 年 12 月 26 日提交后的私人报告中披露的，Meta 为此支付了 10,000 美元的悬赏奖励。Hodkasia 发现，当用户在 Meta AI 聊天框中编辑自己的提示时，后端服务器会为每个提示及其生成的内容分配一个唯一的编号。通过分析浏览器中的网络流量，他发现可以通过更改这些编号来获取其他用户的提示和生成内容。这表明 Meta 的服务器在处理请求时未能正确验证用户是否拥有查看特定提示和内容的权限。 2025 年 1 月 24 日，Meta 部署了修复措施。Hodkasia 表示，由于提示编号相对容易猜测，攻击者可能利用自动化工具快速遍历编号，从而大规模获取用户的原始提示和生成内容。不过，根据 Meta 发言人 Ryan Daniels 的说法，公司在调查后未发现该漏洞被恶意利用的证据，并确认已修复漏洞并向研究人员支付了奖励。 此次事件发生在各大科技巨头纷纷推出并完善其 AI 产品之际，尽管这些产品存在许多安全和隐私风险。Meta 的独立 AI 应用程序在今年早些时候上线，旨在与类似 ChatGPT 的竞争对手争夺市场。然而，该应用初期并不顺利，部分用户误将本应私下进行的对话公开分享，引发了隐私方面的担忧。 业内人士认为，这次漏洞的发现再次凸显了 AI 应用在快速增长的同时，面临的安全和隐私挑战不容忽视。对于 Meta 来说，及时修复漏洞并奖励研究人员的做法是积极的，这不仅显示了公司在应对安全问题上的透明态度，也表明了对用户数据保护的重视。Meta 是一家全球领先的社交媒体和技术公司，近年来在 AI 和虚拟现实领域进行了大量投资。尽管如此，Meta 还需继续加强其产品的安全性，以应对日益复杂的技术环境。