Perplexity AIのユーザーファイルアップロードは認証されていません！

「このドキュメントの著者は、Perplexity AIのファンですが、ユーザーファイルアップロードの取り扱いについて懸念しています。プライバシーコンシャスなユーザーとして、セキュリティー問題に関するユーザーフィードバックを無視するチームの態度に失望しています。このデモンストレーションの目的は、Perplexity AIがユーザーファイルアップロードに対して「セキュリティー・スルー・オブスキュリティー」アプローチを採用していることを示し、ユーザーセキュリティーの観点から問題があることを示すことです。ユーザーアップロードは、画像の場合はCloudinary、他のファイルの場合はAWS Bucketsにルーティングされますが、どちらも認証されていないユーザーセッションからアクセス可能です。これにより、誰でもユーザーがアップロードした個人識別情報にアクセスやスクラップングを試みることができます。著者は、合成データを含むリポジトリを使用してこの脆弱性をデモンストレーションし、Perplexity AIにモックのPIIデータをアップロードし、新しいブラウザーセッションから認証なしでアクセスしました。このデモンストレーションでは、ユーザーアップロードされた画像、ドキュメント、シークレットを含むコードがすべて認証なしでアクセス可能であることを示し、重大なセキュリティーリスクを強調しました。著者は、Cloudinaryのバケットに大量のユーザー提出データが保護されていないと考えられると主張し、繰り返しセキュリティーの改善を要求するユーザーの声に耳を傾けていないと非難しています。著者は、「セキュリティー・スルー・オブスキュリティー」が過去に失敗したと主張し、ユーザーデータを保護するためのより良い方法があると主張しています。著者は、有料顧客は、個人データのセキュリティーが確率のゲームに減らされることを望まないと結論付け、Perplexity AIはセキュリティーメジャーの改善に取り組むべきであると主張しています。」