L’objectif a confirmé qu’il avait résolu un Échec de la sécurité Cela a permis aux utilisateurs de leur chatbot Taro d’accéder à la Invites privées et les réponses générées par d’autres utilisateurs. Le problème a été détecté par Sandeep Hodkasia, fondateur de l’entreprise AppSecure, qui l’a rapporté en privé à la ligne d’arrivée le 26 décembre 2024. Merci à cela diffusion responsableHodkasia a reçu un Récompense de 10 000 $ Grâce au programme de primes de l’entreprise.
L’objectif a mis en œuvre le Correction de l’échec Le 24 janvier 2025 et, comme confirmé, il n’a trouvé aucune preuve qu’il avait été exploité de manière malveillante, afin que les données privées des utilisateurs ne soient pas tombées entre de mauvaises mains.
Invite exposée à cause d’un identifiant
Hodkasia a découvert l’erreur en analysant comment les utilisateurs peuvent modifier leurs invites Régénérer le texte et les images Dans le but AI. Dans ce processus, les serveurs de finition attribuent un Numéro unique à chaque invite et à sa réponse générée.
Lors de l’examen du trafic réseau du navigateur lors de l’édition d’une invite, Hodkasia s’est rendu compte que c’était possible Modifier manuellement Cet identifiant. Ce faisant, les serveurs ont renvoyé l’invite et la réponse d’un autre utilisateur différent, sans vérifier si qui a fait la demande avait des permis de voir ce contenu.
Le problème s’est aggravé parce que ceux Les identifiants étaient faciles à devinerce qui aurait permis à un attaquant d’automatiser la collection d’invites privées en modifiant les nombres séquentiellement ou au hasard. Bien que l’erreur ait été corrigée il y a plus d’un demi-an, il n’a pas été jusqu’à présent qu’elle en était consciente.
Meta Ai est la plate-forme qui donne vie au chatbot intégré dans WhatsApp ou dans les lunettes intelligentes de Ray-Ban. Les modèles de langage d’entreprise de Mark Zuckerberg peuvent également être utilisés sans connexion grâce à des outils tels que Olllama.
