Meta AIはチャットボットのプロンプトと回答を不正ユーザーに漏洩していた

サイバーセキュリティの専門家によって昨年発見された脆弱性により、Meta AI が欠陥を通じてチャットボットのユーザーに他のユーザーのプライベートプロンプトや AI 生成応答へのアクセスを許可していたことが判明した。

サイバーニュースの報道によると、Meta はその後このバグを修正したが、漏洩の結果、ユーザーは一定期間にわたり、他のユーザーのプロンプトや回答に不正にアクセスできたという。

TechCrunchによると、この脆弱性は、2024年12月26日にサイバーセキュリティ専門家でAppSecureの創設者であるサンディープ・ホドカシア氏によってMetaに初めて開示され、2025年1月24日にMetaによって修正されました。ホドカシア氏は、Meta AIがログインしたユーザーに独自のプロンプトを変更してテキストや画像を再生成できるようにする方法を研究していました。ユーザーがAIプロンプトを編集すると、MetaのサーバーはそのプロンプトとAIが生成した応答に一意の番号を割り当てます。

ホドカシア氏はAIプロンプトを編集中にブラウザのネットワークトラフィックを分析し、この数値を変更することでサーバーが別のユーザーからのプロンプトと応答を返すようにできることを発見しました。これは、サーバーがプロンプトとその応答を要求したユーザーがその表示権限を持っているかどうかを確認していなかったことを意味します。

Metaは脆弱性を修正し、Hodkasiaに1万ドルのバグ報奨金を支払いました。同社の広報担当者は問題を認めたものの、この脆弱性が実際に悪用されたという証拠はないと述べました。この脆弱性は、先月MetaのAI会話がアプリ内で公開され、ユーザーの質問が意図せず公開された事件に続くもので、AIチャットのやり取りがいかに簡単にセキュリティラインを越えられるかを浮き彫りにしています。

チャットボットの使用を開始する企業が増えるにつれて、チャット履歴に機密情報が含まれている可能性がある場合は特に、潜在的なセキュリティ上の欠陥をチェックして、チャットのプライバシーと機密性が維持されるように定期的に確認する必要があります。

Google ニュースで Tom's Guideをフォローすると、最新のニュース、ハウツー、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。

Tom's Guideのその他の記事

• このAndroidマルウェアは本物のアプリを装い、危険なサイトに誘導し、スパムメールを大量に送信します。
• 大規模な医療データ侵害で540万人が被害に遭う ― 氏名、メールアドレス、社会保障番号などが流出
• Google Geminiの脆弱性を悪用し、AI搭載のメール要約を完璧なフィッシングツールに変える - 知っておくべきことすべて