Miniony weekend przyniósł Mecie sporą wpadkę, która jednak jest czymś więcej niż tylko incydentem technicznym. To sygnał ostrzegawczy dla całej branży, która coraz chętniej powierza AI wrażliwe zadania związane z bezpieczeństwem użytkowników.
Kluczowe fakty:
- Atakujący byli w stanie przejąć konta na Instagramie wyłącznie poprzez rozmowę z chatbotem AI Support Assistant Mety – bot dodawał nowy adres e-mail do wskazanego konta i wysyłał kod weryfikacyjny bezpośrednio na adres hakera, umożliwiając reset hasła w kilka minut.
- Instrukcje opisujące exploit zaczęły krążyć na Telegramie 31 maja, a wśród zhakowanych kont znalazły się m.in. profil Białego Domu z czasów Obamy, firma Sephora oraz konto Sierżanta Głównego Sił Kosmicznych USA Johna Bentivegny.
- Meta uruchomiła AI Support Assistant globalnie na Facebooku i Instagramie w marcu 2025 roku jako narzędzie do szybszej obsługi zgłoszeń, takich jak resetowanie haseł i odzyskiwanie kont.
Na Telegramie pojawiły się instrukcje, a właściwie szczegółowe filmiki, pokazujące krok po kroku, jak przejąć dowolne konto na Instagramie. Bez żadnego exploita systemowego, bez znajomości kodu, bez hakowania baz danych. Wystarczyła rozmowa z chatbotem Meta.
Jak wyglądał atak?
Schemat był prosty do bólu. Atakujący:
- łączył się z internetem przez VPN, podszywając się pod lokalizację ofiary,
- otwierał czat z AI Support Assistant Meta,
- prosił bota o dodanie nowego adresu e-mail do wybranego konta,
- bot grzecznie wysyłał kod weryfikacyjny na wskazany przez hackera adres,
- po wpisaniu kodu pojawiał się przycisk resetowania hasła.
Gotowe. Całość zajmowała kilka minut.
Instrukcje zaczęły krążyć kanałami Telegram już 31 maja. Filmiki, które dokumentowały exploit, opublikowały grupy powiązane z Iranem, a zhakowane konta zostały na krótko oszpecone proirańskimi treściami. Wśród ofiar znalazły się m.in. konto Białego Domu z czasów Obamy, profil firmy Sephora i konto Sierżanta Głównego Sił Kosmicznych USA Johna Bentivegny. Badaczka bezpieczeństwa Jane Wong poinformowała, że jej konto również zostało przejęte.
Hakerzy twierdzili, że przy okazji zdobyli szereg „wartościowych” (czyli krótkich) nazw użytkowników na Instagramie, których łączna wartość rynkowa przekracza pół miliona dolarów.
Prawie co drugi pracownik w Polsce używa AI za plecami swojego szefa. 71% polskich pracowników oszczędza dzięki AI od pół godziny do ponad dwóch godzin dziennie …
Nie to miał robić ten bot
Meta uruchomiła AI Support Assistant globalnie na Facebooku i Instagramie w marcu tego roku, promując go jako szybszy sposób obsługi zgłoszeń. Resetowanie haseł, raportowanie scamów, odzyskiwanie kont, czyli dokładnie to, co wcześniej wymagało kontaktu z (i tak mało pomocnym) wsparciem ludzkim.
Jak zauważa Cybersecguru, Instagram od dawna ma fatalną infrastrukturę ludzkiego wsparcia. Odzyskanie zablokowanego konta, szczególnie wartościowego, potrafi trwać tygodniami. Meta zdecydowała się wdrożyć warstwę AI do obsługi typowych problemów z dostępem do konta, żeby zmniejszyć tarcie dla użytkowników uwięzionych w pętli automatycznych formularzy.
Dobry cel. Fatalne wykonanie.
Atak nie był SQL injection ani exploitem OAuth. Był prompt injection: odpowiednio sformułowane zapytanie, które zmusiło bota do zachowania niezgodnego z jego założeniami. To klasa ataków, przed którą specjaliści ds. bezpieczeństwa AI ostrzegają od 2023 roku.
Kiedy czytam o tym incydencie, mam mieszane uczucia. Z jednej strony rozumiem Metę: wsparcie dla użytkowników na platformach tej skali to naprawdę nierozwiązany problem i AI może tu realnie pomagać. Z drugiej, pozwolenie botowi na samodzielne dodawanie adresów e-mail do kont, bez żadnej dodatkowej weryfikacji, to błąd, który trudno wytłumaczyć. To nie jest kwestia zaawansowanego ataku, to kwestia podstawowej architektury bezpieczeństwa. Pytanie, które mnie nurtuje: czy Meta przetestowała tego bota pod kątem social engineeringu, zanim go uruchomiła globalnie? Bo jeśli tak, to ktoś musiał pominąć dość oczywiste scenariusze.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Co mówi Meta i co to naprawia?
Meta Vice President of Communications Andy Stone napisał na X: „This issue has been resolved and we are securing impacted accounts” / „Ten problem został rozwiązany i zabezpieczamy konta, na które miał wpływ”. Firma nie podała, ile kont zostało przejętych.
Według dostępnych informacji Meta wdrożyła awaryjną poprawkę w weekend i potwierdziła, że żadna baza danych backendowa nie została naruszona. Wygląda na to, że bot po prostu stracił uprawnienie do dodawania nowych adresów e-mail do kont. Czyli nie naprawiono bota, tylko odcięto mu rękę.
Dobra wiadomość jest jedna
Hakerzy sami przyznali, że exploit nie działał na kontach z włączonym uwierzytelnianiem dwuskładnikowym, nawet w najprostszej formie SMS. Ian Goldin z Black Lotus Labs przy Lumen powiedział wprost: „AI chatbots create interesting new attack surface, and we’re likely going to see a lot more of these kinds of attacks” / „Chatboty AI tworzą nową, interesującą powierzchnię ataku i prawdopodobnie będziemy obserwować o wiele więcej tego typu incydentów”.
Jeśli nie macie włączonego 2FA na Instagramie i innych platformach, to teraz jest najlepszy moment. Naprawdę.
Szerszy problem: AI jako wektor ataku
To nie jest historia o Mecie. To historia o tym, że branża technologiczna pędzi z wdrożeniami AI w obszarach wrażliwych, gdzie dotychczas stały bariery ludzkie, niedoskonałe, ale jednak istniejące.
W odróżnieniu od ludzkich pracowników wsparcia, którzy są szkoleni z wymagania wieloskładnikowego uwierzytelnienia i weryfikacji tożsamości, chatbot był najwyraźniej zoptymalizowany pod kątem „pomocności dla użytkownika”, a nie „weryfikacji pod kątem działań niebezpiecznych”.
I tu właśnie leży sedno. Kiedy AI dostaje uprawnienia administratora systemowego, dziedziczy też całą odpowiedzialność. Bez odpowiedniego zabezpieczenia staje się najsłabszym ogniwem, które można atakować słowami zamiast kodem.
Meta to tylko pierwszy głośny przykład. Nie ostatni.
