Kako je Meta reagovala na otkriće ranjivosti i šta to znači za korisnike
Krajem decembra 2024. godine, bezbednosni istraživač Sandeep Hodkasia otkrio je ranjivost u Meta-inim AI alatima koji korisnicima omogućavaju generisanje teksta putem veštačke inteligencije. Ispostavilo se da se pristup svakom promptu i njegovom odgovoru mogao izvršiti jednostavnom izmenom ID broja u mrežnom saobraćaju — što je značilo da bilo koji korisnik, uz minimalno tehničko znanje, može videti tuđe unose i rezultate.
Greška se nalazila u načinu na koji su AI promptovi interno identifikovani. Iako su korišćeni jedinstveni identifikatori, oni nisu bili zaštićeni dodatnim slojevima autentifikacije. Hodkasia je odgovorno prijavio problem 26. decembra, a Meta ga je zakrpila do 24. januara 2025. godine. Za svoj doprinos, istraživač je nagrađen sa 10.000 dolara kroz kompanijin bug bounty program, pšiše portal TechChrunch.
Iz kompanije su potvrdili da, nakon interne istrage, nije pronađen nijedan dokaz koji bi ukazivao na to da je ranjivost korišćena u zlonamerne svrhe. Ipak, činjenica da je postojala mogućnost pristupa poverljivom sadržaju izazvala je zabrinutost u zajednici korisnika, posebno s obzirom na porast korišćenja AI alata za poslovnu, edukativnu i ličnu upotrebu.
Ovaj slučaj dodatno podseća na važnost sigurnosnih protokola u razvoju AI servisa, posebno kada je reč o podacima koji potencijalno mogu otkriti identitet korisnika, poslovne informacije ili druge osetljive sadržaje. Takođe, ističe značaj saradnje između kompanija i nezavisnih istraživača kroz bug bounty programe, kao model koji može sprečiti veće štete pre nego što dođe do zloupotreba.
Meta još nije javno obavestila korisnike o ovom incidentu, već je samo interno dokumentovala ispravku. Iako se greška više ne može iskoristiti, stručnjaci upozoravaju da slični propusti mogu proći neprimećeno — sve dok neko iz zajednice ne odluči da ih prijavi.
