Meta 修复了可能泄露用户 AI 提示和生成内容的错误

Meta 修复了一个安全漏洞，该漏洞允许 Meta AI 聊天机器人用户访问和查看其他用户的私人提示和 AI 生成的响应。

安全测试公司 Appsecure 的创始人桑迪普·霍德卡西亚 (Sandeep Hodkasia) 独家告诉 TechCrunch，Meta 向他支付了 10,000 美元的漏洞赏金，以奖励他于 2024 年 12 月 26 日私下披露他提交的漏洞。 

Hodkasia 表示，Meta 已于 2025 年 1 月 24 日部署了修复程序，并且没有发现该漏洞被恶意利用的证据。

Hodkasia 告诉 TechCrunch，他在研究Meta AI如何允许其登录用户编辑 AI 提示以重新生成文本和图像后发现了这个漏洞。他发现，当用户编辑提示时，Meta 的后端服务器会为该提示及其 AI 生成的响应分配一个唯一的编号。通过分析他在编辑 AI 提示时浏览器中的网络流量，Hodkasia 发现他可以更改这个唯一的编号，这样 Meta 的服务器就会返回完全不同的提示和 AI 生成的响应。

该漏洞意味着 Meta 的服务器未能正确检查，以确保请求提示及其响应的用户有权查看。Hodkasia 表示，Meta 服务器生成的提示编号“很容易被猜到”，恶意行为者可能会利用自动化工具快速更改提示编号，从而窃取用户的原始提示。

Meta 发言人瑞安·丹尼尔斯 (Ryan Daniels) 向 TechCrunch 表示，当 TechCrunch 联系 Meta 时，Meta 确认已于 1 月份修复了该漏洞，并且公司“未发现滥用的证据，并奖励了研究人员”。

在有关这一漏洞的消息传出之际，各大科技巨头正争相推出和改进他们的人工智能产品，尽管这些产品的使用存在许多安全和隐私风险。

Meta AI 的独立应用程序于今年早些时候推出，与 ChatGPT 等竞争对手的应用程序竞争，但由于一些用户无意中公开分享了他们认为是与聊天机器人的 私人对话，该应用程序的推出并不顺利。