کشف نقص امنیتی حیاتی در پلتفرم هوش مصنوعی متا و پاداش ۱۰ هزار دلاری برای یابنده!

شکاف امنیتی متا؛ حتی غول‌های فناوری هم مصون نیستند

اگر تصور می‌کنید امنیت پلتفرم‌های هوش مصنوعی صرفاً به پشتوانه شرکت‌های بزرگ تأمین می‌شود، بهتر است دوباره فکر کنید. اخیراً یک پژوهشگر امنیت سایبری موفق شد حفره‌ای مهم در پلتفرم هوش مصنوعی متا کشف کند و به دلیل گزارش این آسیب‌پذیری، ۱۰ هزار دلار جایزه از برنامه باگ بانتی متا دریافت کرد.

طبق گزارش TechCrunch، این نقص امنیتی باعث می‌شد داده‌های محرمانه کاربران شامل درخواست‌ها (prompts) و پاسخ‌های تولیدشده توسط ربات گفت‌وگوی Meta AI، به‌صورت ناخواسته در اختیار سایر کاربران قرار بگیرد. این نقطه ضعف در دسامبر ۲۰۲۴ توسط ساندیپ هودکاسیا، بنیان‌گذار شرکت امنیتی AppSecure، شناسایی شد. انتشار رسمی این آسیب‌پذیری، باری دیگر اهمیت امنیت دیجیتال و مخاطرات ناشی از استفاده از فناوری‌های هوش مصنوعی را به کاربران یادآور می‌کند.

چگونه این ضعف امنیتی کشف شد؟

هودکاسیا هنگام بررسی قابلیت ویرایش prompts در پلتفرم Meta AI متوجه شد که هر درخواست ویرایش‌شده یک شناسه (identifier) منحصر به فرد از سرور دریافت می‌کند. با تحلیل ترافیک شبکه و تغییر این شناسه، او قادر شد به داده‌های سایر کاربران دسترسی پیدا کند. مشکل اصلی این بود که سرور متا بررسی نمی‌کرد کاربر واقعاً مجاز به مشاهده آن prompt هست یا خیر. هودکاسیا اشاره کرده شناسه‌ها به راحتی قابل حدس زدن بودند و این ضعف باعث می‌شد هکرها بتوانند با ساخت اسکریپت، داده‌های حساس کاربران را در مقیاس وسیع جمع‌آوری کنند.

واکنش متا و وضعیت ایمنی داده‌ها

متا پس از دریافت گزارش، این باگ را فوراً برطرف و تأکید کرد شواهدی مبنی بر سوءاستفاده مخرب از این نقص وجود ندارد اما اتفاق اخیر هشداری جدی برای کاربران است تا هنگام استفاده از سرویس‌های هوش مصنوعی، حتی تحت نظارت شرکت‌های بزرگ، جانب احتیاط را رعایت کنند. کافی است یک اشتباه کوچک در کدنویسی، منجر به افشای داده‌های ارزشمند شود.

حریم خصوصی Meta AI تحت نقد؛ وقتی ویژگی‌ها دردسرساز می‌شوند

از زمان عرضه اپلیکیشن جداگانه Meta AI در اوایل ۲۰۲۴، عملکرد این پلتفرم از نظر حفظ حریم خصوصی با چالش‌هایی روبرو شده است. برخی کاربران بدون اطلاع از تنظیمات، مکالمات خصوصی، تصاویر یا حتی فایل‌های صوتی خود را به اشتباه در فضای عمومی به اشتراک گذاشته‌اند. این اشتباهات، گاه منجر به افشای جزئیات بسیار حساس مانند اطلاعات حقوقی و حتی نشانی منزل شده است.

ویژگی‌، مقایسه و استقبال بازار

با وجود سرمایه‌گذاری عظیم متا در حوزه هوش مصنوعی و ویژگی‌های متعدد این اپلیکیشن مانند پاسخ‌گویی هوشمند، قابلیت تعامل همزمان و اشتراک‌گذاری گفتگوها، Meta AI هنوز راه درازی برای جلب اعتماد و جذب گسترده کاربران در پیش دارد. طبق داده‌های Appfigures، از زمان عرضه رسمی در ۲۹ آوریل تاکنون فقط ۶.۵ میلیون بار دانلود شده که در مقایسه با رقبای بزرگی مانند ChatGPT یا Google Gemini (همان Bard سابق) بسیار کمتر است.

جمع‌بندی: حفظ امنیت؛ وظیفه‌ای جمعی در عصر هوش مصنوعی

فارغ از قدرت برند یا شهرت توسعه‌دهنده، هیچ پلتفرمی صددرصد امن نیست و کشف چنین نقایص، نقش حیاتی علاقه‌مندان و کارشناسان امنیت را در بهبود زیست‌بوم دیجیتال نشان می‌دهد. شاید اگر باگ‌های بیشتری از این دست کشف شود، متا هم مجبور به تغییر نام پلتفرم AI خود شود؛ همان‌طور که گوگل Bard را به Gemini تغییر داد. کاربران باید همواره نسبت به مخاطرات احتمالی هوش مصنوعی آگاه باشند و از داده‌های خود محافظت کنند.