Investigadores de seguridad han identificado fallos críticos en Dify, una popular plataforma de inteligencia artificial. El conjunto de vulnerabilidades, bautizado como DifyTap, permite que conversaciones privadas entre usuarios queden expuestas. Esto significa que tus diálogos con la IA podrían ser accesibles para terceros, comprometiendo datos personales y la privacidad de quienes usan servicios basados en esta tecnología.
Cómo opera el fallo y qué datos están en riesgo 🔓
Las vulnerabilidades explotan una gestión inadecuada de sesiones y permisos en la arquitectura de Dify. Al manipular ciertos tokens de autenticación, un atacante puede acceder a los historiales de chat de otros usuarios sin autorización. Esto incluye no solo el texto de las conversaciones, sino también metadatos como fechas y contextos de uso. El fallo afecta principalmente a implementaciones donde la plataforma no segmenta correctamente los datos entre distintos inquilinos o cuentas.
La IA no guarda secretos, pero ahora tampoco los tuyos 😅
Resulta que la inteligencia artificial no solo tiene problemas para mantener un hilo coherente, sino que ahora tampoco puede guardar un secreto. Si usabas Dify para planificar sorpresas de cumpleaños o redactar mensajes comprometedores, malas noticias: cualquiera con un poco de curiosidad y conocimientos técnicos podría haber estado leyendo por encima de tu hombro digital. Menos mal que le preguntaste a la IA cómo invertir en criptomonedas y no tu número de tarjeta de crédito.