التقاريرمنشور23 المصادر
كيف منح روبوت ذكاء اصطناعي 'نائب مرتبك' مفاتيح 20 ألف حساب إنستغرام للمخترقين
في يونيو 2026، استغل مهاجمون ثغرة منطقية في روبوت الدعم المدعوم بالذكاء الاصطناعي 'High Touch Support' من ميتا لاختطاف 20,225 حساب إنستغرام بمجرد الطلب من الروبوت ربط حساب الهدف ببريدهم الإلكتروني دون الحاجة إلى كلمات... شملت قائمة الضحايا البارزين حساب البيت الأبيض لإدارة أوباما، وحساب شركة التجميل العالمية Sephora...
39K0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: What was the security flaw in Meta's AI-powered Instagram account recovery tool disclosed in June 2026, how did attackers exploit it to hija. Article summary: **Vulnerable system:** Meta's "High Touch Support" (HTS), an AI-assisted account recovery chatbot deployed in March 2026 to help users regain access to locked Instagram accounts. It was designed to handle workflows like . Topic tags: deepresearch, general web, education. Reference image context from search candidates: Reference image 1: visual subject "Meta blames a bug on an exploit that allowed hackers to ask its AI support bot to link a victim’s account with their own email. Hackers likely took over 20,225 Instagram accounts u" source context "Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot | The Verge" Reference image 2: visual
في تذكير صارخ بأن نشر وكلاء ذكاء اصطناعي بصلاحيات مرتفعة دون ضوابط صارمة للتحقق من الهوية هو وصفة لكارثة، أكدت شركة ميتا في يونيو 2026 أن ثغرة منطقية في روبوت دعم العملاء الآلي الخاص بها سمحت للمهاجمين بالاستيلاء على 20,225 حساب إنستغرام. لم يتطلب الهجوم برمجيات خبيثة، أو تصيداً احتيالياً، أو حتى تخمين كلمات مرور. لقد كان هجوماً من نوع الهندسة الاجتماعية يستهدف الذكاء الاصطناعي. كل ما فعله المهاجمون هو فتح محادثة دعم وسؤال الروبوت عن إمكانية ربط حساب الضحية بعنوان بريد إلكتروني جديد، وامتثل الروبوت للأمر، مرسلاً رابط إعادة تعيين كلمة المرور دون أن يتحقق مما إذا كان مقدمو الطلب هم المالكون الحقيقيون .
الثغرة: مشكلة 'نائب مرتبك' بصلاحيات مفرطة
النظام المعرّض للخطر كان High Touch Support (HTS)، وهي أداة لاستعادة الحسابات بمساعدة الذكاء الاصطناعي، صُممت خصيصاً لمساعدة المستخدمين على استعادة الوصول إلى حسابات إنستغرام المقفلة. أُطلقت الأداة في مارس 2026، وكانت تتعامل مع مهام حساسة مثل إعادة ربط عناوين البريد الإلكتروني وتفعيل عمليات إعادة تعيين كلمات المرور دون تدخل بشري .
يكمن السبب الجذري في "مسار كود منفصل" داخل أداة HTS. وفقاً لما أوضحته آمبر هانا، نائبة المستشار العام لشركة ميتا، فإن الأداة كانت "تعمل بشكل صحيح وتؤدي وظيفتها على النحو المنشود" في مهامها الأساسية، ولكن أثناء عمليات إعادة تعيين كلمة المرور، فشل النظام في التحقق من أن عنوان البريد الإلكتروني الذي قدمه طالب الخدمة يطابق العنوان المسجل في حساب إنستغرام، وأرسل رابط إعادة التعيين إلى أي عنوان يُقدم له .
أدرك باحثو الأمن على الفور أن هذه مشكلة نائب مرتبك (Confused Deputy) كلاسيكية: كان وكيل الذكاء الاصطناعي مخولاً بتنفيذ عمليات حساسة على الحسابات عبر واجهات برمجة التطبيقات الخلفية، لكنه افتقر إلى المنطق الأساسي لتأكيد هوية الشخص الذي يصدر الأوامر . وكما وصفه أحد التحليلات، فإن الذكاء الاصطناعي "مُنح الإذن بإجراء تغييرات على الحساب دون أن يتم تعليمه كيفية التأكد من هوية مقدم الطلب" .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "كيف منح روبوت ذكاء اصطناعي 'نائب مرتبك' مفاتيح 20 ألف حساب إنستغرام للمخترقين"؟
في يونيو 2026، استغل مهاجمون ثغرة منطقية في روبوت الدعم المدعوم بالذكاء الاصطناعي 'High Touch Support' من ميتا لاختطاف 20,225 حساب إنستغرام بمجرد الطلب من الروبوت ربط حساب الهدف ببريدهم الإلكتروني دون الحاجة إلى كلمات...
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
في يونيو 2026، استغل مهاجمون ثغرة منطقية في روبوت الدعم المدعوم بالذكاء الاصطناعي 'High Touch Support' من ميتا لاختطاف 20,225 حساب إنستغرام بمجرد الطلب من الروبوت ربط حساب الهدف ببريدهم الإلكتروني دون الحاجة إلى كلمات... شملت قائمة الضحايا البارزين حساب البيت الأبيض لإدارة أوباما، وحساب شركة التجميل العالمية Sephora، ومسؤول رفيع في قوة الفضاء الأمريكية، بالإضافة إلى أسماء مستخدمين نادرة 'OG' تُقدر قيمتها السوقية بأكثر من مليون دولار.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
كشف تحليل ميتا للسبب الجذري أن الأداة كانت تعمل كما صُممت، لكن خطأ في 'مسار كود منفصل' خلق مشكلة 'النائب المرتبك' الكلاسيكية: حيث مُنح النظام صلاحية إعادة تعيين كلمات المرور لكنه لم يُبرمج للتحقق من هوية طالب الخدمة،...
المصادر
- helpnetsecurity.comHackers used Meta's AI support system to hijack over ...
- safestate.comMeta AI Exploited to Hijack High-Profile Instagram Accounts
- mallory.aiMeta AI Instagram Recovery Flaw Enabled Account Takeovers
- krebsonsecurity.comHackers Used Meta's AI Support Bot to Seize Instagram ...
- malwarebytes.comMeta's AI support bot happily handed Instagram accounts ...
Loading comments...
Comments
0 comments