🎯 情报来源:AI News & Artificial Intelligence | TechCrunch
Meta近期修复了其AI聊天机器人中的一个安全漏洞,该漏洞允许用户访问并查看其他用户的私密提示词和AI生成内容。安全测试公司AppSecure创始人Sandeep Hodkasia于2024年12月26日发现并报告该漏洞,于2025年1月24日获得Meta的1万美元漏洞赏金。
技术分析显示,当用户编辑提示词时,Meta后端服务器会为提示词及其AI生成响应分配唯一编号。Hodkasia通过浏览器网络流量分析发现,修改该编号即可获取他人完整的对话内容,暴露出服务器未对用户权限进行有效验证的安全缺陷。
💡 核心要点
- 漏洞危害:用户可越权查看任意私密对话(含原始提示词+AI响应)
- 技术细节:服务器未验证序列号权限+编号易猜测(可自动化爬取)
- 处置时效:29天内完成漏洞修复(12.26发现→1.24修复)
- 赏金金额:Meta支付10,000美元漏洞奖励
- 影响范围:官方确认无恶意利用证据
📌 情报分析
技术价值:高
漏洞原理涉及权限验证缺失和可预测ID生成,属于典型API安全缺陷,对AI服务架构具有普适警示意义
商业价值:极高
涉及千万级用户隐私数据(据Statista数据Meta AI月活超5000万),若不及时修复可能触发GDPR天价罚款
趋势预测:高
AI产品快速迭代与安全防护脱节现象将持续存在(Gartner预测2025年30%AI事故源于权限漏洞)