Fremde Eingaben waren einsehbar

Meta-KI-Leak gewährte Zugriff auf KI-Prompts und Antworten anderer Nutzer

Meta AI
Bildquelle: QubixStudio / Shutterstock.com
LinkedInRedditWhatsAppPocket

English Dieser Artikel ist auch auf Englisch verfügbar.

Eine schwerwiegende Schwachstelle im KI-Chatbot von Meta ermöglichte es Nutzern zeitweise, fremde Eingaben und Antworten einzusehen – ein Problem, das nun behoben ist.

Entdeckt wurde die Lücke von Sandeep Hodkasia, Gründer des Sicherheitsunternehmens AppSecure, das sich auf Schwachstellentests spezialisiert hat.

Anzeige

Hodkasia stieß Ende Dezember 2024 auf die Sicherheitslücke, als er analysierte, wie Meta AI eingeloggten Nutzern erlaubt, Eingaben nachträglich zu bearbeiten und neue Texte oder Bilder generieren zu lassen. Dabei fiel ihm auf, dass Meta im Hintergrund jeder Eingabe sowie der zugehörigen KI-Antwort eine eindeutige Nummer zuweist.

Durch die Untersuchung des Datenverkehrs im Browser stellte Hodkasia fest: Wird diese Nummer manuell verändert, liefert der Server Eingaben und Antworten von anderen Nutzerinnen und Nutzern zurück – ohne jede Zugriffsbeschränkung. Die Zahlenfolge war dabei leicht zu erraten.

Meta reagierte mit Bugfix und Belohnung

Am 26. Dezember 2024 meldete Hodkasia den Fund an Meta. Rund einen Monat später – am 24. Januar 2025 – wurde das Problem offiziell behoben. Für seine Meldung erhielt der Sicherheitsforscher eine Prämie von 10.000 US-Dollar im Rahmen von Metas Bug-Bounty-Programm.

Anzeige

Laut einem Sprecher des Unternehmens gebe es bislang keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt worden sei. Dennoch unterstreicht der Vorfall, wie wichtig eine konsequente Absicherung von KI-Systemen ist – gerade bei Diensten, in denen sensible Daten verarbeitet werden.

Datenschutz bei KI bleibt Herausforderung

Die entdeckte Lücke zeigt: Selbst große Technologiekonzerne wie Meta können Sicherheitsprüfungen übersehen, insbesondere bei komplexen, neuen Systemen wie KI-Chatbots. Dabei ist Vertrauen in den Schutz der Privatsphäre eine Grundvoraussetzung für die Nutzung solcher Technologien.

Der Vorfall reiht sich ein in eine Serie von Datenschutzproblemen bei Meta. Erst kurz zuvor wurde bekannt, dass die Benutzeroberfläche der Meta-AI-App versehentlich dazu führen kann, dass private Eingaben öffentlich gemacht werden. Inzwischen weist eine Warnmeldung auf diesen Umstand hin.

Die Enthüllung durch Hodkasia ist ein Warnsignal für die gesamte Tech-Welt: Die Sicherheit von KI-Anwendungen muss mit der gleichen Sorgfalt behandelt werden wie die von traditionellen IT-Systemen. Die Privatsphäre der Nutzerinnen und Nutzer darf nicht dem Innovationsdruck zum Opfer fallen.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Meta: Gericht lehnt Antrag zu Transparenzregeln ab

Weitere Artikel

In Rechenzentren führt auch in Zukunft kein Weg an Festplatten vorbei
Scale Computing und Bitdefender schließen Partnerschaft
NOBIX und HP kooperieren bei neuem Workplace-as-a-Service-Angebot
Hackerangriff auf Vodafone – Vertriebsplattform ist offline
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.