近日，meta 公司宣布修复了一项影响其 AI 聊天机器人的严重安全漏洞，该漏洞曾允许用户访问其他用户的私人提示和 AI 生成的内容。此漏洞的发现者，安全测试公司 AppSecure 的创始人 Sandeep Hodkasia，因其在2024年12月26日私下披露该漏洞，获得了 meta 支付的1万美元奖励。

Hodkasia 在接受 TechCrunch 采访时表示，他是在对 meta AI 的功能进行深入研究时发现了这个漏洞。该系统允许用户编辑他们的 AI 提示并生成文本和图像，但在这个过程中，meta 的后端服务器为每个提示和其生成的响应分配了一个唯一的编号。通过分析他在编辑提示时浏览器的网络流量，Hodkasia 发现，他可以轻易地修改这个唯一编号，导致 meta 的服务器返回其他用户的提示和生成内容。

这一漏洞意味着 meta 的服务器没有对请求提示和响应的用户身份进行正确的验证。Hodkasia 指出，这些提示编号是 “极易猜测” 的，恶意攻击者可能会利用自动化工具快速更改编号，从而抓取其他用户的原始提示内容。

meta 确认该漏洞已于2025年1月24日被修复，并表示公司 “没有发现滥用的证据，同时也对研究者进行了奖励。”meta 发言人 Ryan Daniels 在接受采访时提到，随着各大科技公司纷纷推出和改进自己的 AI 产品，安全和隐私风险也变得愈发突出。

meta AI 的独立应用于今年早些时候发布，旨在与 ChatGPT 等竞争对手一较高下。然而，该应用在上线初期就遇到了一些问题，有用户误将其与聊天机器人的私人对话公开分享。