퍼플렉시티 AI 사용자 파일 업로드는 인증되지 않습니다!

이 문서의 작성자는 Perplexity AI의 팬이지만 플랫폼의 사용자 파일 업로드 처리 방식에 대해 우려를 가지고 있습니다. 개인정보 보호에 민감한 사용자로서, 저자는 보안 문제에 대한 사용자 피드백을 무시하는 팀에 실망했습니다. 이 데모의 목적은 사용자 보안 관점에서 문제가 되는 사용자 파일 업로드에 대해 Perplexity AI가 "모호성을 통한 보안" 접근 방식을 채택하고 있음을 보여주기 위한 것입니다. 사용자 업로드는 이미지의 경우 Cloudinary로, 기타 파일의 경우 AWS 버킷으로 라우팅되지만, 둘 다 인증되지 않은 사용자 세션에서 액세스할 수 있습니다. 즉, 누구나 사용자가 업로드한 개인 식별 정보에 액세스하거나 스크래핑을 시도할 수 있습니다. 저자는 이 취약점을 시연하기 위해 합성 데이터가 포함된 저장소를 사용하여 모의 PII 데이터를 Perplexity AI에 업로드하고 인증 없이 새 브라우저 세션에서 액세스했습니다. 이 데모는 사용자가 업로드한 이미지, 문서, 비밀이 포함된 코드에 모두 인증 없이 액세스할 수 있다는 것을 보여주며 심각한 보안 위험을 강조했습니다. 저자는 사용자가 제출한 엄청난 양의 데이터가 Cloudinary 버킷에서 보호되지 않고 있을 가능성이 있으며, 보안을 개선해 달라는 사용자의 거듭된 요청에도 불구하고 이러한 상황이 계속되고 있다고 주장합니다. 저자는 과거에 '모호성을 통한 보안'은 실패했으며 사용자 데이터를 보호하기 위해 더 나은 방법을 사용할 수 있다고 주장합니다. 저자는 유료 고객은 개인 데이터의 보안을 확률 게임으로 전락시키는 것보다 더 나은 서비스를 받을 자격이 있으며, Perplexity AI는 보안 조치를 개선하기 위한 조치를 취해야 한다고 결론을 내립니다.