Pod koniec grudnia 2024 roku w systemie sztucznej inteligencji rozwijanym przez Meta ujawniono poważną lukę bezpieczeństwa. Błąd ten mógł doprowadzić do wycieku danych osobowych użytkowników, którzy wchodzili w interakcje z chatbotem Meta AI.
Informacje te zostały potwierdzone przez Sandeepa Hodkasię, eksperta ds. cyberbezpieczeństwa, który wykrył zagrożenie i przekazał je firmie 26 grudnia. Meta zareagowała po niespełna miesiącu, udostępniając łatkę naprawiającą podatność 24 stycznia 2025 roku.
Niebezpieczne numery w cyfrowym dialogu
Sposób, w jaki użytkownicy mogli wejść w posiadanie danych innych osób, opierał się na mechanizmie edycji zapytań i odpowiedzi w Meta AI. Każda sesja, podczas której użytkownik zmieniał pytania lub polecenia dla sztucznej inteligencji, była oznaczana numerem identyfikacyjnym. Teoretycznie miał on być unikalny, jednak Hodkasia zauważył, że numery te są przewidywalne i możliwe do odgadnięcia.
W efekcie osoba nieuprawniona mogła uzyskać dostęp do wyników wygenerowanych przez AI w odpowiedzi na cudze polecenia, nawet jeśli zawierały one dane wrażliwe. Meta AI, nieświadoma próby obejścia systemu, bez przeszkód udostępniała zapis rozmowy powiązanej z danym numerem.
Prywatność na sprzedaż? Potencjalne konsekwencje błędu
Wielu użytkowników traktuje narzędzia AI jako przestrzeń do zadawania pytań o sprawy osobiste, zawodowe lub zdrowotne. Wprowadzenie do czatu informacji takich jak nazwisko, adres, PESEL, numer telefonu czy szczegóły relacji rodzinnych nie należy do rzadkości. Takie dane, jeśli trafiłyby w niepowołane ręce, mogłyby stać się przedmiotem szantażu lub posłużyć do przeprowadzania precyzyjnych ataków phishingowych.
Choć luka nie miała charakteru masowego, a jej wykrycie i zgłoszenie nastąpiło stosunkowo szybko, przypadek ten uwidacznia słabości nawet w najbardziej zaawansowanych technologiach. Z punktu widzenia cyberbezpieczeństwa, każda możliwość obejścia zabezpieczeń AI oznacza potencjalne ryzyko dla setek tysięcy użytkowników, którzy ufają, że ich rozmowy z maszyną pozostaną poufne.
Reakcja Meta i milczące ostrzeżenie
Meta zareagowała wdrożeniem poprawki, a ekspert, który odkrył lukę, otrzymał od firmy 10 tysięcy dolarów w ramach programu bug bounty. Naprawa podatności odbyła się jednak po cichu – publiczne informacje na temat incydentu zostały przekazane głównie przez specjalistów i media technologiczne.
Pokaż / Dodaj komentarze do: Twoje rozmowy mogły wpaść w niepowołane ręce. Groźna wpadka Mety