نقص امنیتی در پلتفرم هوش مصنوعی متا افشا شد ؛ جایزه ۱۰ هزار دلاری برای افشاگر

یک کارشناس امنیتی توانست با کشف باگی در پلتفرم هوش مصنوعی متا، جایزه‌ای ۱۰ هزار دلاری از این شرکت دریافت کند.

به گزارش تکراتو و به نقل از phonearena، اگر فکر می‌کنید پلتفرم‌های هوش مصنوعی فقط به‌خاطر پشتیبانی شرکت‌های میلیارد دلاری کاملاً امن هستند، شاید بهتر باشد دوباره فکر کنید. اخیراً فردی توانسته یک نقص امنیتی مهم را در سیستم هوش مصنوعی متا پیدا کند و به همین دلیل ۱۰ هزار دلار جایزه دریافت کرده است.

بر اساس گزارشی از وب‌سایت تک‌کرانچ، این نقص امنیتی باعث می‌شد برخی از درخواست‌ها (پرامپت‌ها) و پاسخ‌های تولیدشده توسط چت‌بات Meta AI در معرض دید دیگر کاربران قرار بگیرد.

این ایراد توسط سندیپ هودکاسیا، بنیان‌گذار شرکت امنیتی AppSecure کشف و در دسامبر ۲۰۲۴ به متا گزارش داده شد. در پاسخ به این گزارش، متا از طریق برنامه باگ باونتی خود مبلغ ۱۰ هزار دلار به او پرداخت کرد. اگر روزی مورد مشابهی پیدا کردید، بهتر است شما هم گزارش بدهید.

متا تأیید کرده که این مشکل اکنون برطرف شده و نشانه‌ای از سوءاستفاده مخرب از آن یافت نشده است. با این حال، این موضوع باید هشداری جدی برای تمام کسانی باشد که بدون فکر از ابزارهای هوش مصنوعی استفاده می‌کنند. گاهی تنها یک خط کد اشتباه ممکن است باعث افشای اطلاعاتی شود که هزینه‌های سنگینی به‌دنبال دارد.

هودکاسیا زمانی به این نقص پی برد که در حال بررسی نحوه ویرایش پرامپت‌ها در چت‌بات Meta AI بود. او متوجه شد که وقتی کاربران واردشده، یک پرامپت را ویرایش می‌کنند، سیستم متا برای هر ویرایش یک شناسه‌ منحصر به‌فرد اختصاص می‌دهد.

او با رهگیری داده‌های رد و بدل‌شده در این فرآیند، دریافت که با تغییر این شناسه می‌توان به پرامپت‌ها و پاسخ‌های دیگر کاربران دسترسی پیدا کرد.

مشکل اصلی این بود که متا بررسی نمی‌کرد آیا کاربر مجاز به مشاهده آن داده‌ها هست یا نه. به گفته او، این شناسه‌ها الگویی قابل‌پیش‌بینی داشتند و یک مهاجم می‌توانست با خودکارسازی این روند، حجم بالایی از اطلاعات حساس کاربران را جمع‌آوری کند.

این افشاگری در حالی رخ می‌دهد که پلتفرم هوش مصنوعی متا در ماه‌های اخیر با انتقادهایی در زمینه حفظ حریم خصوصی کاربران روبه‌رو بوده است. از زمان عرضه اپلیکیشن مستقل این چت‌بات در اوایل امسال، کاربران بارها بدون آگاهی کامل از تنظیمات اشتراک‌گذاری، گفتگوهای خصوصی خود را به‌صورت عمومی منتشر کرده‌اند.

این اپلیکیشن بخشی برای اشتراک‌گذاری عمومی دارد که بسیاری از کاربران نمی‌دانند هنگام استفاده از آن، پرسش‌ها، تصاویر و حتی فایل‌های صوتی‌شان برای دیگران قابل مشاهده خواهد بود. برخی از این موارد، اطلاعات بسیار حساسی را افشا کرده‌اند؛ از سوالاتی درباره جرایم مالی و مشکلات حقوقی گرفته تا آدرس خانه و اطلاعات شخصی.

با وجود سرمایه‌گذاری سنگین متا در بخش هوش مصنوعی، اپلیکیشن Meta AI هنوز موفقیت چشمگیری نداشته و طبق آمار شرکت Appfigures از زمان عرضه‌اش در ۲۹ آوریل، تنها حدود ۶.۵ میلیون بار دانلود شده است.

هیچ پلتفرمی بی‌نقص نیست، اما اگر چند باگ دیگر مانند این مورد در متا کشف شود، شاید این شرکت هم مجبور شود مانند گوگل نام چت‌بات خود را تغییر دهد؛ همان‌طور که بارد به جمینی تغییر نام داد.