أعلنت شركة ميتا عن إصلاح ثغرة أمنية في روبوت الذكاء الاصطناعي الخاص بها Meta AI، كانت تتيح للمستخدمين الوصول إلى المحفزات (prompts) والردود التي أنشأها الذكاء الاصطناعي لمستخدمين آخرين — في انتهاك واضح لخصوصية البيانات.
وكشف سانديب هودكاسيا، مؤسس شركة Appsecure المتخصصة في اختبار الأمان، حصريًا لموقع TechCrunch أنه اكتشف هذه الثغرة في 26 ديسمبر 2024، وقام بإبلاغ ميتا بها عبر برنامج مكافآت الثغرات، مما دفع الشركة لمكافأته بمبلغ 10,000 دولار أمريكي.
وأكدت ميتا أنها أطلقت إصلاحًا نهائيًا للثغرة في 24 يناير 2025، مشيرة إلى أنه لم يتم العثور على أي دليل على استغلال الثغرة بشكل ضار من قبل أطراف خارجية.
ثغرة في محرر المحفزات تكشف بيانات مستخدمين آخرين
وبحسب هودكاسيا، فقد رصد الثغرة أثناء تحليله لطريقة عمل ميزة تعديل المحفزات في تطبيق Meta AI، عند قيام المستخدم بتحرير محفز نصي أو طلب صورة، تقوم خوادم ميتا بإسناد رقم تعريف فريد لذلك المحفز والرد الناتج عنه.
وباستخدام أدوات تحليل حركة الشبكة في المتصفح، تبيّن لهودكاسيا أنه كان بإمكانه تغيير هذا الرقم يدويًا واسترجاع ردود ومطالبات (prompts) خاصة بمستخدمين آخرين، دون أي تحقق من صلاحية المستخدم الذي أرسل الطلب.
وأشار إلى أن الأرقام المخصصة من قبل الخوادم كانت “سهلة التخمين”، ما كان قد يُمكّن جهات خبيثة من جمع بيانات خاصة عبر أدوات آلية تقوم بتغيير الأرقام بشكل متسلسل.
ميتا: لم تُستغل الثغرة ولا توجد دلائل على تسريب فعلي
عند التواصل مع ميتا، أكد المتحدث باسم الشركة رايان دانيلز لـ TechCrunch أن الثغرة تم التعامل معها بالكامل، وأن الشركة “لم تجد أي دليل على إساءة استخدام الثغرة”، وقد كافأت الباحث الأمني تقديرًا لبلاغه المسؤول.
التطبيق الجديد لـ Meta AI يواجه تحديات الخصوصية
يأتي هذا الحادث في وقتٍ تُسرع فيه كبرى شركات التكنولوجيا، وعلى رأسها ميتا، لإطلاق وتطوير منتجات الذكاء الاصطناعي التوليدي، وسط تزايد المخاوف بشأن أمان وخصوصية هذه التقنيات الناشئة.
وكانت ميتا قد أطلقت تطبيقها المستقل Meta AI في وقت سابق من هذا العام لمنافسة تطبيقات مثل ChatGPT، لكنه تعرض لبداية مضطربة بعد أن اكتشف بعض المستخدمين أن محادثاتهم، التي ظنوا أنها خاصة، أصبحت متاحة علنًا دون قصد.
تعليقات