يتيح استغلال حقن التعليمات البرمجية في الذكاء الاصطناعي الخاص بـ Meta إمكانية الوصول إلى حسابات Instagram، مما يؤثر حتى على البيت الأبيض في عهد أوباما

بقلم Maria • ١ يونيو ٢٠٢٦ • 1 min de leitura

WhatsApp Twitter Facebook Seguir no Google E-mail

Foto: meta ai - gguy / Shutterstock.com

وبدأت التقارير حول حدوث خرق أمني خطير في الانتشار، مما يشير إلى أن المتسللين تمكنوا من خداع مساعد الذكاء الاصطناعي ميتا على إنستغرام. سمح هذا الاستغلال بالوصول غير المصرح به إلى حسابات المستخدمين. وكان من الممكن أن تعمل الثغرة الأمنية حتى مع تمكين المصادقة الثنائية، مما يثير مخاوف بشأن فعالية طبقات الحماية الحالية.

قبل أن تنفذ Meta إصلاحًا للثغرة الأمنية، زُعم أن الثغرة الأمنية سمحت للمهاجمين بالسيطرة على الحسابات لفترات تمتد إلى أشهر. ومن بين الأهداف المؤكدة، يبرز حساب إنستغرام غير النشط الخاص بالبيت الأبيض لأوباما، مما يسلط الضوء على التأثير المحتمل لمثل هذه الانتهاكات على الملفات الشخصية عالية الوضوح. يكشف تعقيد الهجوم عن جبهة جديدة في تحديات الأمن السيبراني الرقمي.

التفاصيل الفنية للاستغلال في IA Meta

تضمنت آليات الهجوم سلسلة من الخطوات المصممة للتلاعب بمساعد الذكاء الاصطناعي الخاص بـ Meta. أولاً، استخدم المهاجم شبكة افتراضية خاصة (VPN) تم تكوينها لتتناسب مع الموقع الجغرافي للحساب المستهدف. كانت هذه الخطوة حاسمة لمحاكاة الوصول الشرعي وتجاوز التنبيهات الأمنية المحتملة بناءً على الموقع الجغرافي. ساهمت الدقة في محاكاة أصل المستخدم في فعالية الطريقة.

ثم تم إرسال رسالة محددة إلى مساعد الذكاء الاصطناعي. وكانت صياغة هذه الرسالة هي محور “حقن الكود”، المصمم لخداع الذكاء الاصطناعي لاتخاذ إجراء غير مقصود. وقام الذكاء الاصطناعي بدوره بمعالجة الأمر باعتباره طلبًا مشروعًا لتغيير بيانات المستخدم، دون التحقق المناسب.

تطلب الرسالة، في جوهرها، من المساعد ربط عنوان بريد إلكتروني جديد بالحساب. يتضمن النص اسم مستخدم الحساب المستهدف وعنوان البريد الإلكتروني للمهاجم، بالإضافة إلى تعليمات لإرسال رمز إعادة التعيين إلى هذا البريد الإلكتروني الضار. استغلت هذه العملية البسيطة والبارعة ثغرة منطقية في تفسير الذكاء الاصطناعي.

واستجاب مساعد الذكاء الاصطناعي للطلب مباشرة ودون تردد، حيث أرسل رابط إعادة تعيين كلمة المرور إلى عنوان البريد الإلكتروني الذي قدمه المهاجم. سمح هذا الارتباط للمهاجم بإعادة تعيين كلمة مرور الحساب، وبالتالي السيطرة الكاملة. كان الافتقار إلى التحقق القوي من قبل الذكاء الاصطناعي هو النقطة الحاسمة التي جعلت الاختراق ممكنًا.

تسلسل الهجوم للوصول إلى حسابات Instagram

تُظهر الطريقة التي يستخدمها المتسللون فهمًا متطورًا لنقاط الضعف في أنظمة الذكاء الاصطناعي وبروتوكولات استرداد الحساب. تعتمد الفعالية على التنفيذ الدقيق لكل خطوة.

النقاط الرئيسية لتسلسل الهجوم شملت:

استخدام VPN:واستخدم المهاجمون شبكة VPN لإخفاء موقعهم الحقيقي، وجعله مطابقًا للحساب المراد اختراقه، مما زاد من مصداقية الطلب داخل النظام.
رسالة تم التلاعب بها:تم إنشاء عبارة محددة لمساعد الذكاء الاصطناعي، تحتوي على تعليمات واضحة لربط بريد إلكتروني جديد وإرسال رمز إعادة التعيين.
إدراج أوراق الاعتماد:أدرجت الرسالة مباشرة اسم مستخدم الحساب المستهدف (باستخدام التنسيق @{target_username}) وعنوان البريد الإلكتروني الذي يتحكم فيه المهاجم ({attacker_email}).
رمز إرسال الذكاء الاصطناعي:وقام مساعد الذكاء الاصطناعي، المبرمج لتسهيل استرداد الحساب، بمعالجة الطلب وإرسال رابط إعادة تعيين كلمة المرور مباشرة إلى البريد الإلكتروني للمهاجم، لاستكمال عملية الاستيلاء على الحساب.

سلطت هذه الإستراتيجية الضوء على أهمية آليات أمنية أكثر تعقيدًا من التحقق البسيط من الموقع الجغرافي، خاصة عندما يتعلق الأمر بالوصول إلى معلومات المستخدم الحساسة. تبين أن الاعتماد المفرط على تفسير الذكاء الاصطناعي لأوامر اللغة الطبيعية هو أحد عوامل الهجوم.

اختراق حساب أوباما غير النشط في البيت الأبيض

ولم يقتصر الاختراق الأمني على المستخدمين العاديين، بل وصل حتى إلى شخصيات مؤسسية رفيعة المستوى. وكان حساب أوباما في البيت الأبيض على إنستغرام، وهو أحد الأصول الرقمية التاريخية، أحد أهداف استغلال حقن التعليمات البرمجية. وقد لفت اختراق هذا الحساب بالذات الانتباه إلى اتساع نطاق الثغرة الأمنية وخطورتها.

وكانت الصفحة المعنية غير نشطة منذ 20 يناير/كانون الثاني 2017، وهو تاريخ تنصيب الرئيس الأمريكي آنذاك دونالد ترامب. لسنوات، لم تكن هناك أي مشاركات جديدة أو نشاط واضح، مما جعله هدفًا قد لا يحظى بمراقبة مستمرة. ربما كان هذا الخمول المطول أحد العوامل التي سهّلت تصرفات المتسللين بمرور الوقت.

استغل المهاجمون وصولهم لنشر صورة غير عادية على الحساب. وأرفقت الصورة بتعليق استفزازي: “البيت الأبيض تحت سيطرة الشيعة”. ولم يؤكد هذا المنشور الغزو فحسب، بل أظهر أيضًا نية المتسللين لنقل رسائل سياسية من خلال قناة ذات صلة للغاية. طبيعة المحتوى المنشور زادت من تأثير الأخبار.

إن استخدام مثل هذا الملف الشخصي المهم لنشر رسالة سياسية سلط الضوء على التداعيات المحتملة للفشل. بالإضافة إلى الوصول غير السليم، أظهرت القدرة على التلاعب بمحتوى حساب عام له تاريخ مؤسسي قوة الاستغلال. وقد تم تقويض مصداقية المنصات الرقمية بشدة بسبب مثل هذه الحوادث.

دلالات الفشل قبل تصحيح الهدف

أدى الفشل قبل تصحيحه من قبل شركة ميتا إلى تسليط الضوء على أسئلة حاسمة حول أمن البيانات وقوة مساعدي الذكاء الاصطناعي. تشير قدرة إحدى البرمجيات المستغلة على السماح بالتحكم في الحساب لعدة أشهر، كما تشير التقارير، إلى وجود خرق مستمر يصعب اكتشافه. أدت مدة التعرض الطويلة إلى تضخيم المخاطر بالنسبة للمستخدمين.

ولم يكن تمكين المصادقة الثنائية، وهي إحدى طرق حماية الحساب الرئيسية، كافيا لوقف الهجمات. يشير هذا إلى أن الثغرة الأمنية تكمن في طبقة أساسية من نظام الأمان، قبل فحص العامل الثاني. وقد تعرضت ثقة المستخدمين في هذا المورد للخطر بشكل مباشر بسبب عدم فعاليته في مواجهة الاستغلال.

لقد جسّد حادث حساب أوباما في البيت الأبيض خطر المعلومات المضللة والتلاعب بالسرد. إن نشر رسالة سياسية على ملف شخصي مرتبط تاريخياً بالمؤسسة الرئاسية للولايات المتحدة يمكن أن يكون له عواقب وخيمة إذا لم يتم تحديده وتصحيحه بسرعة. وتتعرض سلامة المعلومات عبر الإنترنت للتحدي باستمرار من خلال مثل هذه الهجمات.

واجهت Meta، أثناء إصلاح الخلل، التحدي المتمثل في استعادة ثقة المستخدمين في أنظمة الذكاء الاصطناعي والأمن الخاصة بها. أصبحت الحاجة إلى المراجعات والتحسينات المستمرة في خوارزميات الذكاء الاصطناعي واضحة. يتطلب الأمن السيبراني يقظة مستمرة وقدرة على التكيف ضد الأشكال الجديدة من الهجمات التي تستغل التقنيات الناشئة.

وتعد هذه الحادثة بمثابة تذكير بأنه حتى أكثر التقنيات تقدمًا، مثل الذكاء الاصطناعي، يمكن أن تحتوي على نقاط ضعف قابلة للاستغلال. ويجب أن يتم تصميم التفاعل بين البشر والذكاء الاصطناعي في البيئات الحرجة المتعلقة بالسلامة بشكل صارم، مع الأخذ في الاعتبار جميع السبل الممكنة للتلاعب. تظل حماية البيانات وخصوصية المستخدم من الأولويات غير القابلة للتفاوض.