متا یک باگ امنیتی خطرناک را در پلتفرم Meta AI برطرف کرد که باعث میشد کاربران بتوانند درخواستها و پاسخهای تولیدشده توسط دیگران را مشاهده کنند. این آسیبپذیری توسط یک پژوهشگر امنیتی شناسایی شد و متا به او پاداش کشف باگ اعطا کرد.
جزئیات باگ و نحوه کشف آن
این باگ امنیتی به کاربران اجازه میداد با تغییر یک عدد شناسایی در مرورگر، به درخواستهای خصوصی و پاسخهای AI دیگر کاربران دسترسی پیدا کنند. پژوهشگر امنیتی Sandeep Hodkasia با بررسی ترافیک شبکه هنگام ویرایش درخواستها در Meta AI به این نقص پی برد و آن را به متا گزارش داد.
نحوه عملکرد باگ و ضعف در سرور
وقتی کاربر در Meta AI درخواست خود را ویرایش میکرد، یک شماره یکتا برای آن اختصاص مییافت. اما سرورهای متا بدون بررسی اینکه آیا کاربر مجاز به مشاهده آن شماره است یا نه، محتوای آن را نمایش میدادند. بهگفته Hodkasia، این شمارهها «قابل حدس» بودند و همین امر میتوانست راه را برای سوءاستفاده خودکار هموار کند.
اقدام متا و نتیجه بررسیها
متا این باگ را در تاریخ ۲۴ ژانویه ۲۰۲۵ رفع کرد و تأیید کرده که هیچ شواهدی از سوءاستفاده گسترده یا مخرب پیدا نشده است. همچنین، به پژوهشگر امنیتی بابت این کشف، مبلغ ۱۰ هزار دلار بهعنوان پاداش Bug Bounty ( پاداش کشف باگ ) پرداخت شده است.
تحلیل iTrends
این رویداد نشاندهنده واقعیتی مهم در دنیای هوش مصنوعی است: امنیت هنوز حلقه مفقوده بسیاری از پروژههای پرشتاب AI است. تحلیل iTrends نشان میدهد:
- ۱. شتاب در توسعه، امنیت را به خطر انداخته: شرکتها در تلاش برای رقابت، برخی مراحل ایمنی را نادیده میگیرند.
- ۲. آسیبپذیریهای ساده میتوانند پیامدهای سنگین داشته باشند: یک عدد قابل تغییر در URL کافی بود تا دادههای شخصی کاربران در معرض دید قرار گیرد.
- ۳. شفافیت و پاسخگویی اهمیت دارد: پاسخ سریع متا و پرداخت پاداش، اقدامی مثبت بود؛ اما ضرورت پیشگیری را کمرنگ نمیکند.
- ۴. کاربران باید هوشیار باشند: هرچند این باگ برطرف شده، اما کاربران باید بدانند که حتی شرکتهای بزرگ نیز مصون نیستند.