ثغرة خطيرة في روبوت MetaAI كادت تعرض حسابات المستخدمين للخطر قبل إصلاحها
اكتشف باحثون ثغرة في نظام ذكاء اصطناعي للدعم لدى Meta.
قام المهاجمون باستخدام الهندسة الاجتماعية للتلاعب بروبوت الدعم لإرسال روابط خطيرة.
استهدف الهجوم حسابات ذات قيمة تجارية كبيرة على المنصات الاجتماعية.
أغلقت Meta الثغرة سريعًا وأكدت عدم وجود اختراق مباشر لأنظمتها.
تتطلب أتمتة الدعم تدابير تحقق متعددة لتفادي الاحتيالات.
قد يبدو طلب إعادة تعيين كلمة المرور إجراءً روتينياً لا يستدعي القلق. رسالة تصل إلى بريدك، تنقر على الرابط، وتبدأ من جديد. لكن ماذا لو كانت الجهة التي أرسلت الرابط لم تتحقق أصلاً من هويتك؟ هنا تتحول التفاصيل الصغيرة إلى ثغرةٍ خطيرة، وهذا تحديداً ما حدث داخل أنظمة الدعم لدى Meta.
ثغرة في قلب الدعم التقني
بحسب ما كشفه باحثان في تتبع الجرائم السيبرانية، تمكّن مهاجمون من تنفيذ عملية هندسة اجتماعية ضد روبوت الدعم المعتمد على الذكاء الاصطناعي لدى Meta. الروبوت، الذي يُفترض أنه يسهّل إجراءات المساعدة للمستخدمين، قام بإرسال روابط إعادة تعيين كلمة المرور من دون طلب تحقق ثنائي أو أي إثبات هوية يُعتدّ به.
المقلق هنا ليس مجرد خلل عابر، بل حقيقة أن المهمة أُسندت إلى وكيل افتراضي يتخذ قرارات إجرائية حساسة. إعادة تعيين كلمة المرور ليست إجراءً بسيطاً، بل نقطة تحكم كاملة في الحساب، خاصة عندما يتعلق الأمر بحسابات عامة ذات قيمة تجارية ومعنوية عالية.
حسابات بملايين الدولارات
الهجوم لم يستهدف مستخدمين عاديين، بل ركّز على حسابات قصيرة الاسم وذات عدد متابعين ضخم. هذه الحسابات تُباع في أسواق موازية على قنوات مغلقة مثل تيليغرام مقابل مبالغ قد تصل إلى ملايين الدولارات مجتمعة.
الحسابات القصيرة نادرة ومطلوبة بشدة.
ارتفاع عدد المتابعين يجعلها أصولاً رقمية قابلة للتجارة.
الاستحواذ عليها يمنح تأثيراً فورياً بلا بناء تدريجي للجمهور.
هنا يصبح رابط إعادة تعيين كلمة المرور بوابة استحواذ كاملة على أصل رقمي عالي القيمة.
ذكاء اصطناعي بلا حسّ أمني كافٍ
Meta سارعت إلى إصلاح المشكلة وأكدت عدم حدوث اختراق مباشر لأنظمتها. لكن الحادثة تكشف جانباً أكثر دقة: ليس كل فشل أمني يأتي من اختراق شبكي أو ثغرة برمجية تقليدية، أحياناً يكون الخطر في منطق اتخاذ القرار الآلي.
إسناد مهام حساسة لأنظمة ذكاء اصطناعي دون طبقات تحقق صارمة قد يحوّل السرعة إلى نقطة ضعف.
أنظمة الدعم المؤتمت أصبحت واقعاً واسع الانتشار، من المصارف إلى منصات التواصل، لكنها تعمل غالباً وفق قواعد محددة. إذا لم تتضمن هذه القواعد آليات تحقق متعددة المستويات، فإنها قد تستجيب بثقة لطلب احتيالي مُقنع لغوياً.
الهندسة الاجتماعية تتكيّف مع الآلات
المفارقة أن الهجمات التي تستهدف البشر انتقلت الآن لاستهداف الروبوتات. المهاجمون لم يحاولوا كسر جدار حماية تقليدي، بل خاضوا محادثة ذكية مع نظام دعم، مستغلين ثغرات في سيناريوهات التحقق.
هذا يعكس تطوراً في أساليب الاحتيال الرقمي؛ فالهندسة الاجتماعية لم تعد تعتمد فقط على خداع الموظفين، بل على اختبار حدود الأنظمة المدربة على اللغة الطبيعية. ومع توسع استخدام الشات بوت في خدمة العملاء، تزداد أهمية ربط كل إجراء حساس بطبقة تحقق تقني غير قابلة للتفاوض، مثل المصادقة متعددة العوامل عبر تطبيقات مخصصة بدلاً من الرسائل القصيرة.
أين يقف المستخدم من كل ذلك؟
في هذه الحالة لم يكن بوسع المستخدمين فعل الكثير، لأن الخلل وُجد داخل المنصة نفسها. ومع ذلك، تظل المصادقة متعددة العوامل باستخدام تطبيقات توليد رموز مؤقتة، وربط الحساب ببريد إلكتروني مخصص وغير معروف، من أفضل آليات التحصين ضد الاستحواذ غير المشروع.
الحادثة تذكّرنا بأن الأمان ليس ميزة تُفعّل مرة واحدة، بل منظومة متكاملة تشمل البرمجيات، والسياسات، وسلوك المستخدم، ومنطق الأنظمة الذكية ذاتها.
السرعة مقابل الحذر
شركات التقنية تتسابق لتقليل الاحتكاك وجعل الدعم أسرع وأكثر أتمتة. لكن كل خطوة لتبسيط التجربة يجب أن تُوازن بدقة بين الراحة والحماية. فحين يتعامل الذكاء الاصطناعي مع كلمات المرور وأدوات الاسترداد، لا مجال للافتراضات أو الثقة الافتراضية.
قد تكون Meta أغلقت هذه الثغرة سريعاً، لكن الرسالة الأوسع واضحة: كلما توسع الاعتماد على الذكاء الاصطناعي في القرارات التشغيلية، أصبح اختبار حدوده الأمنية ضرورة يومية لا خياراً لاحقاً.