برطرف‌شدن نقص امنیتی Meta AI در افشای پیام‌های خصوصی کاربران

کمیته رکن چهارم – شرکت متا یک باگ امنیتی در ربات چت Meta AI را اصلاح کرد که به کاربران امکان مشاهده پیام‌های خصوصی دیگران را می‌داد.

به گزارش کمیته رکن چهارم، یک آسیب‌پذیری امنیتی در ربات هوش مصنوعی شرکت متا که امکان دسترسی به محتوای مکالمات کاربران دیگر را فراهم می‌کرد، توسط پژوهشگر امنیتی شناسایی و به‌سرعت برطرف شده است. این نقص در عملکرد قابلیت «ویرایش درخواست» کشف شد؛ قابلیتی که به کاربران اجازه می‌دهد پس از ارسال درخواست اولیه، آن را تغییر داده و پاسخ جدیدی دریافت کنند.

ساندیپ هدکاسیا، بنیان‌گذار شرکت AppSecure، در ۲۶ دسامبر ۲۰۲۴ این مشکل را به متا گزارش کرد و در ازای آن مبلغ ۱۰ هزار دلار پاداش دریافت کرد. به گفته این پژوهشگر، سرورهای متا در هنگام پردازش درخواست‌های ویرایش‌شده، شماره‌ای منحصربه‌فرد اختصاص می‌دادند، اما بررسی نمی‌کردند که کاربر به آن داده‌ها مجاز است یا نه. این موضوع باعث می‌شد مهاجم با تغییر این شماره‌ها به‌سادگی بتواند به مکالمات دیگران دست یابد.

متا در ۲۴ ژانویه ۲۰۲۵ این باگ را رفع کرده و بررسی‌های داخلی نشان داده‌اند که هیچ نشانه‌ای از سوءاستفاده عملی از این نقص دیده نشده است. سخنگوی شرکت متا نیز در گفت‌وگو با رسانه‌ها، ضمن تأیید رفع این آسیب‌پذیری، از هدکاسیا برای گزارش آن قدردانی کرد.

این رویداد در شرایطی رخ داده که رقابت شرکت‌های فناوری در زمینه توسعه محصولات هوش مصنوعی تشدید شده است. اپلیکیشن Meta AI که با هدف رقابت با سایر چت‌بات‌های پیشرفته منتشر شده، پیش از این نیز با برخی نگرانی‌های امنیتی مواجه شده بود؛ از جمله مواردی که کاربران ناآگاهانه مکالمات خود را عمومی کرده بودند.

کارشناسان امنیتی تأکید می‌کنند که توسعه فناوری‌های نوین باید هم‌زمان با رعایت استانداردهای دقیق امنیتی و حفظ حریم خصوصی کاربران انجام شود تا از بروز رخنه‌های مشابه جلوگیری شود.