メタAIデータの漏洩を引き起こすセキュリティバグを密かに修正する

ジャカルタ–メタが開発したチャットボットであるメタAIは、ユーザーのセキュリティを脅かすバグを経験しました。このバグにより、ユーザーは他のユーザーのプロンプトにアクセスまたは表示できます。

このバグはメタによって秘密裏に克服されたことが判明しました。セキュリティテスト会社AppSecureの創設者であるSandeep HodkasiaはTechCrunchに、バグを発見し、昨年12月にMetaに問題を提起したと語った。

同社はまた、バグ報奨金の形で10,000米ドルまたは約1億6,290万ルピアの支払いを受けました。ホッカシアの報告を受けた後、メタはすぐに修正を実施したようです。この問題は今年1月24日に首尾よく解決されました。

このバグは、HodkasiaがMeta AIのAIプロンプト編集機能を調べたときに最初に発見されました。彼らは、メタバックエンドサーバーが各プロンプトと応答に一意の番号を提供することに気付きました。

クロスネットワークを介して分析された後、Hodkasiaはユニークな番号を変更できることを発見しました。さらに、メタサーバーは、検証なしで他のユーザーに属するプロンプトと応答を表示します。

これは、バグがメタサーバーがユーザーの権限を正しくチェックしない原因となるために発生する可能性があります。さらに、サーバーによって生成されたプロンプト番号も推測しやすいため、当事者が元のプロンプトを盗むことに責任はありません。

メタはこのバグの存在を確認しました。メタの広報担当者ライアン・ダニエルズは、「虐待の証拠は見つからず、(バグを発見した)研究者に報酬を与えた」と述べた。