Meta公司近日修复了一个重大安全漏洞,该漏洞可能允许Meta AI聊天机器人用户查看其他用户的私人提示词及AI生成内容。这一发现由安全测试公司AppSecure创始人Sandeep Hodkasia独家向TechCrunch披露,Meta为此向他支付了1万美元的漏洞赏金。
漏洞发现与修复过程
Hodkasia于2024年12月26日向Meta私下报告了这个漏洞。Meta随后在2025年1月24日部署了修复程序。据Hodkasia表示,没有证据表明该漏洞曾被恶意利用。Meta发言人Ryan Daniels也向TechCrunch证实了这一修复,并表示公司”未发现滥用证据并奖励了研究人员”。
漏洞技术细节
Hodkasia在检查Meta AI如何允许登录用户编辑AI提示词以重新生成文本和图像时发现了这个漏洞。他发现,当用户编辑提示词时,Meta的后端服务器会为提示词及其AI生成的响应分配一个唯一编号。通过分析浏览器中的网络流量,Hodkasia发现他可以更改这个编号,Meta的服务器就会返回完全属于其他人的提示词和AI生成内容。
这个漏洞意味着Meta的服务器没有正确检查请求提示词及其响应的用户是否获得授权。Hodkasia指出,Meta服务器生成的提示词编号”很容易猜测”,潜在允许恶意行为者使用自动化工具通过快速更改编号来抓取用户的原始提示词。
行业背景与影响
这一漏洞的披露正值科技巨头争相推出和完善其AI产品之际,尽管这些产品的使用存在许多安全和隐私风险。Meta AI的独立应用今年早些时候推出,旨在与ChatGPT等竞争对手应用抗衡,但起步并不顺利——此前已有用户无意中公开分享了他们认为是私人的聊天机器人对话。
相关活动信息
TechCrunch Disrupt 2025大会即将迎来其20周年庆典,Netflix、ElevenLabs、Wayve和红杉资本等行业重量级嘉宾将加入议程,分享推动初创企业成长和提升竞争优势的见解。活动将于2025年10月27-29日在旧金山举行。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/meta-xiu-fu-ke-neng-dao-zhi-yong-hu-ai-ti-shi-ci-he-sheng
