متا، شرکت فناوری بزرگ، موفق به اصلاح یک مشکل امنیتی شد که به کاربرانی که از چتبات هوش مصنوعی این شرکت استفاده میکردند، اجازه میداد تا به درخواستها و پاسخهای تولید شده توسط هوش مصنوعی سایر کاربران دسترسی پیدا کنند. سان دپ هودکاسیا، بنیانگذار شرکت تست امنیتی AppSecure، بهطور انحصاری به وبسایت TechCrunch گفت که متا بهخاطر افشای خصوصی این مشکل در تاریخ ۲۶ دسامبر ۲۰۲۴، مبلغ ۱۰,۰۰۰ دلار به عنوان پاداش باگ به او پرداخت کرده است. هودکاسیا همچنین بیان کرد که متا در تاریخ ۲۴ ژانویه ۲۰۲۵ این مشکل را برطرف کرده و شواهدی مبنی بر سوءاستفاده از این باگ پیدا نکردهاند.
هودکاسیا با بررسی روند دسترسی به اهداف مربوط به درخواستهای کاربران در متا ای، باگ مذکور را شناسایی کرد. او توضیح داد که هنگامی که یک کاربر درخواست خود را ویرایش میکند، سرورهای پشتی متا به درخواست و پاسخ تولید شده توسط هوش مصنوعی یک شماره منحصر به فرد اختصاص میدهند. با تحلیل ترافیک شبکه در مرورگر خود در حین ویرایش درخواست، هودکاسیا متوجه شد که میتواند این شماره منحصر به فرد را تغییر دهد و به جای درخواست خود، پاسخ مربوط به کاربر دیگری را دریافت کند. این باگ نشان میدهد که سرورهای متا به درستی تأیید نکرده بودند که کاربر درخواستدهنده حق مشاهده درخواست و پاسخ مربوطه را دارد.
هودکاسیا به TechCrunch گفت که شمارههای درخواست تولید شده توسط سرورهای متا به راحتی قابل حدس زدن بودند و این امکان را برای مهاجمان فراهم میکرد تا با استفاده از ابزارهای خودکار، درخواستهای اصلی کاربران را جمعآوری کنند. نماینده متا، رایان دنیلز، در گفتوگویی با TechCrunch تأیید کرد که این شرکت در ژانویه باگ را برطرف کرده و هیچگونه شواهدی از سوءاستفاده پیدا نکرده است و به پژوهشگر یادشده نیز پاداش داده شده است.
این خبر در شرایطی مطرح میشود که غولهای فناوری بهسرعت در حال عرضه و بهبود محصولات هوش مصنوعی خود هستند، هرچند که مشکلات امنیتی و حریم خصوصی بسیاری در استفاده از این فناوریها وجود دارد. اپلیکیشن مستقل متا ای که اوایل سال جاری برای رقابت با اپلیکیشنهای رقیب همچون ChatGPT راهاندازی شده است، از آغاز با چالشهایی روبهرو بود و برخی از کاربران بهطور ناخواسته گفتوگوهای خصوصی خود با چتبات را بهطور عمومی به اشتراک گذاشته بودند.