Meta a corrigé un bogue de sécurité qui a permis aux utilisateurs de chatbot Meta Meta pour accéder et afficher l’invite privée et les stations complexes générées par l’IA d’autres utilisateurs.
Sandeep Hodkasia, le fondateur de la société de test de sécurité AppSecure, a déclaré exclusivement à TechCrunch que Meta lui avait payé 10 000 $ dans une récompense de prime de bogue pour la divulgation privée du bug qu’il a fui le 26 décembre 2024.
Meta a déployé un correctif le 24 janvier 2025, a déclaré Hodkasia et n’a trouvé aucune preuve que le bogue était exploité de manière malveillante.
Hodkasia a déclaré à TechCrunch qu’il avait identifié le bogue après avoir examiné comment Meta IA permet à ses utilisateurs connectés de modifier leurs invites d’IA pour rénover le texte et les images. Il a découvert que lorsqu’un utilisateur modifie son invite, les serveurs back-end de META attribuent l’invite et que son nombre a-généré en AI. En analysant le trafic réseau dans son navigateur lors de la modification d’une invite d’IA, Hodkasia a constaté qu’il pouvait changer ce serveur unique et les serveurs de Meta rendront une réponse invite et générée par l’AI d’autre.
Le bogue signifiait que les serveurs de Meta ne vérifiaient pas correctement pour s’assurer que l’utilisateur demandant l’invite et que son responsable a été athorisé pour le voir. Hodkasia a déclaré que le numéro invite généré par les serveurs de META était «facilement supposable», permettant potentiamment un acteur malveillant de gratter les invites d’origine des utilisateurs en changeant rapidement des nombres d’invites à l’aide d’outils automatisés.
Lorsqu’il a réagi par TechCrunch, Meta a confirmé qu’il avait corrigé le bug en janvier et que la société « n’a trouvé aucune preuve d’abus et a récompensé le chercheur », a déclaré le porte-parole de Meta, Ryan Daniels, à TechCrunch.
La nouvelle du bogue intervient à un moment où les géants de la technologie se précipitent pour lancer et affiner leurs produits d’IA, malgré les risques de Marycity et de confidentialité associés à leur utilisation.
L’application autonome de Meta AI, qui a débuté plus tôt cette année à concourir avec des applications rivales comme Chatgpt, a été lancée à un démarrage rocheux après que certains utilisateurs ont partagé par inadvertance publiquement ce que Thusht étaient des conversations privées avec le chatbot.
