MinhSec
Writer
Một lỗ hổng nghiêm trọng trong hệ thống chatbot AI của Meta từng cho phép truy cập trái phép vào lời nhắc và phản hồi của người dùng khác làm dấy lên lo ngại lớn về quyền riêng tư và an toàn dữ liệu.
Bằng cách theo dõi lưu lượng mạng và thay đổi số định danh, Hodkasia có thể truy cập được vào dữ liệu người dùng khác bao gồm cả những nội dung riêng tư như mẹo xin việc, thông tin cá nhân, hay các đoạn hội thoại riêng tư với AI.
Nguy hiểm hơn, nếu lỗ hổng bị khai thác bởi hacker, dữ liệu thu được có thể bị dùng để tống tiền, đưa vào danh sách bán lại hoặc phục vụ cho các cuộc lừa đảo tinh vi.
Meta cho biết họ đã vá lỗi ngay sau khi nhận được báo cáo, và không ghi nhận bất kỳ hành vi khai thác nào trước đó. Hodkasia được Meta thưởng 10.000 USD cho phát hiện của mình.
Tuy nhiên, các chuyên gia cho rằng đây là con dao hai lưỡi. Giáo sư Kok-Leong Ong (RMIT) cảnh báo rằng nếu không được kiểm soát chặt, AI của Meta có thể:
Gây rò rỉ dữ liệu nhạy cảm
Làm lây lan thông tin sai lệch
Gây ảnh hưởng đến sức khỏe tâm thần và giảm tương tác xã hội
Một số cơ quan quản lý tại Đức, Pháp, Bỉ và Hà Lan cũng đã lên tiếng phản đối, yêu cầu Meta ngừng sử dụng dữ liệu người dùng. Dù vậy, Tòa án Cologne (Đức) không chấp thuận yêu cầu cấm, và Meta vẫn tiếp tục quá trình đào tạo AI với cam kết minh bạch hơn và cải tiến biểu mẫu từ chối.
www.cyberdaily.au
Lỗ hổng bảo mật dễ bị khai thác
Sandeep Hodkasia nhà sáng lập công ty bảo mật AppSecure đã phát hiện ra lỗi này khi nghiên cứu cách Meta AI cho phép chỉnh sửa lời nhắc. Hệ thống gán mỗi lời nhắc và phản hồi một số định danh duy nhất, nhưng vấn đề nằm ở chỗ: những số này có thể bị sửa và... dễ đoán.Bằng cách theo dõi lưu lượng mạng và thay đổi số định danh, Hodkasia có thể truy cập được vào dữ liệu người dùng khác bao gồm cả những nội dung riêng tư như mẹo xin việc, thông tin cá nhân, hay các đoạn hội thoại riêng tư với AI.
Nguy hiểm hơn, nếu lỗ hổng bị khai thác bởi hacker, dữ liệu thu được có thể bị dùng để tống tiền, đưa vào danh sách bán lại hoặc phục vụ cho các cuộc lừa đảo tinh vi.
Meta cho biết họ đã vá lỗi ngay sau khi nhận được báo cáo, và không ghi nhận bất kỳ hành vi khai thác nào trước đó. Hodkasia được Meta thưởng 10.000 USD cho phát hiện của mình.
Lo ngại dai dẳng về quyền riêng tư với Meta AI
Không chỉ lỗi kỹ thuật, chính cách Meta đào tạo AI bằng dữ liệu mạng xã hội cũng gây ra tranh cãi. Theo chính Meta, họ sử dụng dữ liệu như sở thích, nội dung tương tác và hồ sơ người dùng để cá nhân hóa Meta AI. Người dùng cũng có thể yêu cầu AI ghi nhớ những thông tin riêng như đam mê du lịch hay học ngôn ngữ.Tuy nhiên, các chuyên gia cho rằng đây là con dao hai lưỡi. Giáo sư Kok-Leong Ong (RMIT) cảnh báo rằng nếu không được kiểm soát chặt, AI của Meta có thể:
Gây rò rỉ dữ liệu nhạy cảm
Làm lây lan thông tin sai lệch
Gây ảnh hưởng đến sức khỏe tâm thần và giảm tương tác xã hội
Một số cơ quan quản lý tại Đức, Pháp, Bỉ và Hà Lan cũng đã lên tiếng phản đối, yêu cầu Meta ngừng sử dụng dữ liệu người dùng. Dù vậy, Tòa án Cologne (Đức) không chấp thuận yêu cầu cấm, và Meta vẫn tiếp tục quá trình đào tạo AI với cam kết minh bạch hơn và cải tiến biểu mẫu từ chối.
Meta patches AI chatbot bug capable of leaking user AI prompts and responses
A bug in Meta’s AI chatbot that allowed users to access the prompts and responses of other Meta AI users has been patched.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview