W ostatnich tygodniach media zawładnęła informacja o błędzie w Meta AI, który pozwolił atakującym przejmować konta na Instagramie i innych usługach Meta. Na pierwszy rzut oka mogło się wydawać, że to kolejny błąd „halucynującego” chatbota. W rzeczywistości problem był znacznie głębszy i dotyczył sposobu, w jaki AI została włączona w procesy odzyskiwania kont i autoryzacji – ostrzegają eksperci Check Point Research.
Meta przez dłuższy czas rozwijała systemy AI, które miały wspierać użytkowników w odzyskiwaniu kont, zgłaszaniu nadużyć czy resetowaniu haseł. W teorii miało to usprawnić proces i ograniczyć czas reakcji. Problem w tym, że AI nie była jedynie „asystentem”, a otrzymała realne uprawnienia operacyjne. Mogła inicjować działania, które normalnie wymagają silnej weryfikacji tożsamości, takie jak zmiana powiązanego adresu e-mail czy wysyłanie linków resetujących hasło.
To przesunęło chatbot z roli doradczej do wykonawczej, bez odpowiednio twardych mechanizmów kontroli – to był błąd, który ułatwił ataki cyberprzestępcze, uważają specjaliści ds. cyberbezpieczeństwa z Check Point Research.
Jak doszło do przejęć kont?
Atakujący wykorzystali prostą, ale skuteczną ścieżkę: podawali nazwę użytkownika ofiary, używając VPN, aby dopasować lokalizację do „zaufanych” sygnałów systemu; manipulowali systemem analizy twarzy, by w końcu zmusić narzędzie do wykonania operacji zmiany danych odzyskiwania konta.
W efekcie AI inicjowała zmianę adresu e-mail i uruchamiała procedurę resetu hasła, umożliwiając przejęcie konta, w tym profili o dużej wartości rynkowej i rozpoznawalności.
Eksperci Check Pointa podkreślają, że sedno problemu nie leżało wyłącznie w podatności typu prompt injection. Kluczowy błąd architektoniczny polegał na tym, że AI miała dostęp do funkcji administracyjnych, brakowało twardych „checkpointów” uwierzytelniania, a decyzje systemu były oparte głównie na kontekście rozmowy, a nie niezależnej weryfikacji tożsamości. W praktyce oznaczało to, że jeśli użytkownik „brzmiał” przekonująco, system mógł wykonać krytyczne operacje.
Szerszy problem niż może się wydawać
Incydent wpisuje się w szerszy trend wdrażania tzw. agentów AI – systemów, które nie tylko odpowiadają na pytania, ale też wykonują różnego rodzaju akcje w imieniu użytkownika.
– Kluczowym problemem niekoniecznie jest to, że AI zignorowała instrukcje lub została zmanipulowana przez sprytny komunikat. Wydaje się raczej, że AI była w stanie zainicjować lub ułatwić wrażliwe działania odzyskiwania kont bez wystarczającej, niezależnej weryfikacji. Innymi słowy, awaria bezpieczeństwa mogła dotyczyć samego procesu, a nie modelu – uważa Steve Giguere, główny rzecznik ds. bezpieczeństwa AI w Check Point.
To rodzi nowe ryzyka, bowiem może zostać zmanipulowana do wykonania nieautoryzowanych działań, a granica między pomocą a autoryzacją zaciera się. Jednocześnie klasyczne modele bezpieczeństwa (hasła, 2FA, sygnały urządzenia) mogą zostać ominięte, jeśli AI staje się „bramką” do systemu.
– Sztuczna inteligencja nie musi być narażona na ataki, jeśli otrzyma uprawnienia wykraczające poza zabezpieczenia. W miarę jak organizacje wdrażają coraz więcej systemów agentowych, zespoły ds. bezpieczeństwa muszą oceniać nie tylko to, co sztuczna inteligencja potrafi powiedzieć, ale także to, co potrafi zrobić – dodaje ekspert Check Pointa.
Meta potwierdziła lukę i wdrożyła poprawki, zabezpieczając dotknięte konta. Incydent jednak wywołał szerszą debatę w branży o wykorzystanie AI w systemach bezpieczeństwa i projektowaniu „granic zaufania” dla agentów AI.
