Metaは、AIチャットボットプラットフォームの重大なセキュリティ欠陥を修正したと報じられています。この欠陥により、ユーザーのプライベートチャットやAI生成コンテンツがハッカーに公開される可能性がありました。この問題は、セキュリティ企業AppSecureの創設者であり、倫理的なハッカーであるサンディープ・ホドカシア氏によって指摘されました。ホドカシア氏は2024年12月26日にMetaに脆弱性を報告し、バグを非公開で開示したことに対する報奨金として、1万ドル(約85万ルピー)のバグ報奨金を獲得しました。
TechCrunchによると、ホドカシア氏はMetaのAIプラットフォームにおいて、プロンプト編集機能の処理方法に関連するバグを発見しました。ユーザーはMeta AIとやり取りする際に、以前のプロンプトを編集または再生成できます。各プロンプトとAI生成の応答には、Metaのサーバーによって固有の識別番号(ID)が割り当てられます。ホドカシア氏は、これらのIDがブラウザツールから確認できるだけでなく、簡単に推測できることを発見しました。
ホドカシア氏は、ブラウザのネットワークアクティビティパネルでIDを手動で変更することで、他のユーザーのプライベートなプロンプトやAIが生成した応答にアクセスできたと説明しました。彼が指摘した真の問題は、Metaのシステムがコンテンツの閲覧をリクエストした人が実際にそのコンテンツを作成した本人であるかどうかを検証していなかったことです。つまり、ハッカーは簡単なスクリプトを作成してIDを自動的に切り替え、他のユーザーの許可なく大量の機密コンテンツを収集できたということです。
ホドカシア氏は、このID構造の単純さこそが、基本的な技術スキルを持つ人なら誰でもこの脆弱性を悪用することが非常に容易だったと指摘しました。この脆弱性は、ユーザー固有のアクセスチェックをすべて回避し、プライベートなAIのやり取りを悪意のある人物にさらしてしまう可能性がありました。
ホドカシア氏の発見を受けて、Metaは2025年1月24日に修正プログラムをリリースすることでこの問題を解決し、TechCrunchに対し、内部調査でこのバグが悪用または悪用された証拠は見つからなかったことを確認しました。
この問題は解決されましたが、このインシデントは、特に企業がAI搭載製品の開発とリリースを急いでこの分野で競争する中で、AIチャットボットのセキュリティとプライバシーに関する懸念も引き起こしました。Metaは今年初め、ChatGPTなどのライバルに対抗するため、AIアシスタントと専用アプリもリリースしました。しかし、ここ数ヶ月、このAIプラットフォームはプライバシー関連の他のいくつかの失策で非難を浴びています。一部のユーザーは以前、AIとの会話がプライベートだと思っていたにもかかわらず、公開されていたと報告していました。
多くのユーザーから、自分の投稿や他のユーザーのプライベートな会話がMeta AIの公開ディスカバリーフィードに表示されたというインシデントが報告されました。これは深刻なプライバシーに関する懸念を引き起こしました。 Metaは、チャットはデフォルトで非公開で、ユーザーが明示的に共有した場合にのみ公開されると述べているが、アプリのわかりにくい設定とあいまいな警告のせいで、自分の個人的な写真やMeta AIへのプロンプトが他の人に見られる可能性があるという事実に気付いていない人が多いとユーザーらは指摘している。