Um pesquisador de segurança cibernética identificou uma vulnerabilidade no Meta✴ AI que permitia o acesso a outras solicitações e respostas de IA. O problema foi descoberto por Sandeep Hodkasia, fundador da AppSecure, que o relatou ao Meta✴ e recebeu US$ 10.000 em um programa de recompensa por bugs.
Fonte da imagem: AI
De acordo com o TechCrunch, Khodkasia descobriu o problema em 26 de dezembro de 2024, enquanto estudava o mecanismo de edição de solicitações no Meta✴ AI. Descobriu-se que, ao alterar texto ou imagens, os servidores Meta✴ atribuíam um número (ID) exclusivo a cada solicitação e resposta. No entanto, o pesquisador notou que, ao substituir esse número em uma solicitação de rede, é possível obter acesso aos diálogos de outras pessoas com inteligência artificial (IA).
O problema era que o sistema não verificava se o usuário tinha o direito de visualizar uma solicitação específica. Khodkasia observou que os números de solicitações eram previsíveis, o que teoricamente permitia que invasores coletassem dados em massa, testando combinações possíveis automaticamente. A Meta✴ corrigiu a vulnerabilidade em 24 de janeiro de 2025. Ao mesmo tempo, o representante da empresa, Ryan Daniels, disse ao TechCrunch que não havia nenhuma evidência de uso malicioso do bug.
Vale ressaltar que o incidente ocorreu em meio ao desenvolvimento ativo de produtos de IA por grandes empresas de tecnologia, que frequentemente enfrentam problemas de segurança. A Meta✴ AI já se viu no centro de um escândalo quando usuários publicaram, por engano, diálogos privados com um chatbot, acreditando erroneamente que eles permaneciam confidenciais.