Meta a corectat recent o vulnerabilitate critică în aplicaţia sa de inteligenţă artificială, Meta AI, care ar fi permis accesul neautorizat la prompturile şi răspunsurile generate de alţi utilizatori. Problema a fost identificată de Sandeep Hodkasia, fondatorul firmei AppSecure, specializată în testarea securităţii aplicaţiilor. Acesta a raportat bug-ul pe 26 decembrie 2024, iar Meta a intervenit rapid, implementând o soluţie pe 24 ianuarie 2025. Pentru dezvăluirea responsabilă, compania i-a oferit o recompensă de 10.000 de dolari.
Conform explicaţiilor oferite de Hodkasia şi confirmate de Meta, vulnerabilitatea era legată de modul în care utilizatorii îşi puteau edita prompturile pentru a regenera conţinut în Meta AI. Fiecare solicitare era asociată unui identificator numeric unic, atribuit de serverele Meta. Monitorizând traficul din browser, Hodkasia a observat că modificarea acestui identificator permitea accesul la conversaţiile altor persoane, fără nicio verificare suplimentară privind autorizarea.
Mai grav, numerotarea prompturilor era simplă şi predictibilă, ceea ce însemna că un atacator putea folosi instrumente automate pentru a naviga rapid printre aceste coduri şi a colecta informaţii în masă. Serverele nu blocau cererile neautorizate, iar protecţia insuficientă a dus la o breşă cu potenţial de scurgere masivă de date.
Deşi problema a fost gravă, Meta a declarat că nu are dovezi că vulnerabilitatea ar fi fost exploatată în mod rău-intenţionat. Reprezentantul companiei, Ryan Daniels, a confirmat că datele utilizatorilor au rămas în siguranţă şi că cercetătorul a fost recompensat prin programul de bug bounty.
Incidentul atrage însă atenţia asupra provocărilor de securitate care însoţesc lansările accelerate de produse AI, într-un climat în care marile companii tehnologice se grăbesc să câştige teren pe piaţă. Meta AI, lansată la începutul lui 2025 pentru a concura cu platforme precum ChatGPT, a întâmpinat deja dificultăţi legate de confidenţialitate, inclusiv cazuri în care utilizatorii au constatat că au făcut publice conversaţii personale fără să-şi dea seama.
Specialiştii în securitate avertizează că astfel de incidente evidenţiază nevoia urgentă ca infrastructura digitală să fie testată riguros înainte de lansare. Într-un context în care AI este tot mai prezentă în viaţa utilizatorilor, protejarea datelor devine o miză esenţială pentru încrederea publicului.
