A Meta — empresa responsável pelo WhatsApp, Instagram e Facebook — corrigiu recentemente uma falha crítica de segurança que colocava em risco a privacidade dos usuários do seu chatbot com inteligência artificial, o Meta AI. A vulnerabilidade foi descoberta e reportada por Sandeep Hodkasia, especialista em cibersegurança e fundador da empresa AppSecure.
Segundo o próprio pesquisador, a falha permitia o acesso aleatório ao conteúdo de interações privadas de outros usuários, sem necessidade de autorização. Na prática, qualquer pessoa poderia visualizar o que outra havia pedido ao chatbot, junto com a resposta da IA — o que representa um risco significativo, principalmente em casos de dados sensíveis ou corporativos.
Como a falha funcionava
O sistema do Meta AI utiliza identificadores numéricos para cada conversa entre o usuário e o chatbot. Quando alguém pedia para resgatar uma interação anterior, o sistema buscava esse número para recuperar o conteúdo correspondente.
O problema é que, ao modificar esse número diretamente no tráfego do navegador, Sandeep conseguiu acessar conversas de outros usuários, como se fossem suas. Como os identificadores eram relativamente fáceis de prever, era possível explorar a falha em larga escala com o uso de automações, “varrendo” uma grande quantidade de prompts e respostas sem nenhum bloqueio de segurança.
Isso levantou um alerta sério: informações privadas e até confidenciais poderiam ser expostas, violando a privacidade dos usuários e abrindo brechas para possíveis ataques cibernéticos ou roubo de dados.
Recompensa e correção
Sandeep reportou a vulnerabilidade à Meta em dezembro de 2024 e recebeu uma recompensa de US$ 10 mil pelo achado, através do programa de bug bounty da empresa. A correção foi aplicada cerca de um mês depois, por meio de uma atualização dos sistemas da Meta.
A empresa confirmou a falha ao site TechCrunch e afirmou que não há evidências de que a vulnerabilidade tenha sido explorada por terceiros. Ainda assim, o incidente acende um alerta sobre a segurança dos sistemas de IA generativa, principalmente quando esses serviços lidam com conteúdo sensível dos usuários.
Outros casos semelhantes
Essa não é a primeira vez que os chatbots da Meta enfrentam críticas por problemas de privacidade ou mau comportamento. Em episódios anteriores, sistemas de IA da empresa já exibiram falhas como divulgação acidental de números de telefone e respostas inadequadas a menores de idade.
O caso reforça a importância da segurança em plataformas baseadas em inteligência artificial — especialmente quando essas tecnologias são amplamente utilizadas em aplicativos sociais com milhões de usuários ativos.
