استطاع "هكرز" إيجاد ثغرة في بوت الدردشة المعتمد على الذكاء الاصطناعي في نظام دعم Meta، واستغلوها للاستيلاء على حسابات Instagram، مما أجبر المنصة على التحرك سريعاً لإصلاح الخلل بعد توالي البلاغات عن اختراقات واسعة خلال عطلة نهاية الأسبوع. هذا الهجوم سلط الضوء على مخاوف متزايدة لدى خبراء الأمن السيبراني، وهي فكرة الثقة المفرطة في أنظمة الذكاء الاصطناعي، خاصة عندما توكل إليها مهام حساسة مثل إدارة تغييرات الحسابات.
وبحسب TechCrunch، اعتمدت الطريقة على خداع Meta AI Support Assistant لإضافة بريد إلكتروني جديد لحساب الضحية، ثم استخدام رمز التحقق وتدفقات password reset للوصول إلى الحساب. في الحالة التي وصفتها TechCrunch، استخدم المهاجم VPN لإخفاء موقعه، وفتح دردشة مع البوت، وطلب منه إجراء التغيير كأنه طلب دعم شرعي. وبمجرد أن أرسل البوت رمز التحقق إلى البريد الإلكتروني الذي اختاره المهاجم، قام الأخير بإعادة إرسال الرمز للبوت، مما مكنه من إعادة تعيين كلمة المرور والسيطرة على الحساب بالكامل.
القضية طفت على السطح بعدما اشتكى مستخدمون على Reddit وX من اختراق حساباتهم، ونشروا تحذيرات من هجمات مشابهة. وذكرت Fast Company أن حساب البيت الأبيض في عهد أوباما، والذي لم يعد نشطاً، تعرض للتشويه خلال عطلة نهاية الأسبوع بصور ورسائل مؤيدة لإيران، رغم أنه لم يتضح بعد ما إذا كان هذا الاختراق مرتبطاً بنفس التقنية. وأكدت TechCrunch أن Instagram عالجت المشكلة الأمنية، كما صرح المتحدث باسم الشركة Andy Stone يوم الاثنين بأن الخلل قد تم إصلاحه.
القلق الحقيقي هنا لا يتوقف عند طريقة الاختراق نفسها، بل يمتد إلى دور الذكاء الاصطناعي في وظائف الدعم الحساسة. Tomas Stamulis، كبير مسؤولي الأمن في Surfshark، قال لـ Business Insider إن مساعد Meta كان يتصرف مثل "موظف عديم الخبرة"، وهو ما يبرز خطورة معاملة الأنظمة المؤتمتة وكأنها تملك حكماً بشرياً وتقديراً للأمور. الواقعة تشير إلى أنه بمجرد منح البوت صلاحية المساعدة في استرداد الحسابات أو تغيير إعدادات الأمان، فقد يجد المهاجمون طرقاً للتلاعب به وتجاوز إجراءات الحماية التقليدية.
هذه الحالة تأتي ضمن نمط أوسع من المشاكل الأمنية التي واجهت مستخدمي Instagram على مر السنين. تقارير منفصلة من Infosecurity Magazine أظهرت أن نقاط الضعف في عمليات account reset قد تعرض أعداداً هائلة من الحسابات للاستيلاء، خصوصاً عندما يتمكن المهاجمون من التلاعب بإعدادات البريد الإلكتروني أو أرقام الهواتف. وفي هذه الواقعة الأخيرة، لم يحج المهاجم للسيطرة على البريد الإلكتروني الأصلي للضحية، وهو ما يجعل الأمر مقلقاً للغاية؛ لأن الافتراض السائد هو أن ملكية البريد الإلكتروني هي خط الدفاع الأساسي.
الدرس المستفاد للمستخدمين هو ضرورة التعامل بحذر شديد مع أي رسائل غير متوقعة، أو طلبات استرداد، أو حتى تفاعلات دعم تعتمد على الذكاء الاصطناعي. توصيات الأمن من الجهات الرسمية تؤكد دائماً على استخدام كلمات مرور قوية وفريدة وتفعيل Two-factor authentication، مع اليقظة الدائمة تجاه محاولات Phishing وطلبات استرداد الحساب. أما بالنسبة لـ Meta، فالحادثة تثير تساؤلات جدية حول حجم الصلاحيات التي يجب منحها لأنظمة الذكاء الاصطناعي في الجوانب الأمنية، وكيفية حمايتها من التلاعب الذي قد يجعلها أداة في يد الشخص الخطأ.