تم تمكين اختراق Instagram عبر Meta AI للقراصنة من السيطرة على حسابات بارزة، بما في ذلك حساب البيت الأبيض، ببساطة عن طريق خداع روبوت الدردشة الخاص بدعم المنصة.
تقنية هجوم متاحة لأي شخص
في 1 يونيو 2026، بدأ العديد من المستخدمين في الإبلاغ على X و Reddit عن اختراق حساباتهم على Instagram. كان متجه الهجوم الذي حدده باحثو الأمن مفاجئًا ومثيرًا للقلق بقدر ما كان: تم قلب روبوت الدردشة الخاص بدعم Meta AI، المصمم لمساعدة المستخدمين في حل مشاكلهم، ضدهم بسهولة مزعجة.
لم تتطلب الإجراءات المستغلة أي مهارات تقنية خاصة. بدأ القراصنة أولاً إجراءً قياسيًا لإعادة تعيين كلمة المرور، ثم اختاروا « مساعد دعم Meta AI » كقناة اتصال. بعد ذلك، طلبوا ببساطة من روبوت الدردشة ربط عنوان بريد إلكتروني جديد بحساب مستهدف، مع توفير اسم المستخدم (@usernameusername) للضحية فقط. بدون أي تحقق مسبق للهوية، نفذ الروبوت الطلب وأرسل رمز تأكيد إلى عنوان البريد الإلكتروني الذي قدمه المهاجم. سمح هذا الرمز بعد ذلك بتعيين كلمة مرور جديدة وفصل المالك الشرعي عن جميع أجهزته في وقت واحد.
تمكنت TechCrunch من التحقق من أن صندوق البريد العام للمهاجم، والمرئي في فيديو توضيحي نشره حساب Dark Web Informer على X في 1 يونيو 2026، قد تلقى بالفعل رمز التحقق المرسل من Instagram. اعتمد الخلل على نقطة عمياء صارخة: في أي وقت من العملية، لم يكن المهاجم بحاجة إلى الوصول إلى عنوان البريد الإلكتروني الشرعي المرتبط بالحساب المستهدف. لتجاوز الحمايات الجغرافية التلقائية لـ Instagram، استخدم القراصنة أيضًا VPN لمحاكاة موقع قريب من موقع هدفهم.
https://x.com/DarkWebInformer/status/2061253599758315527?s=20
شخصيات بارزة من بين الضحايا
سرعان ما اتخذ الحادث بعدًا رمزيًا بسبب الشخصيات المستهدفة. من بين الحسابات المخترقة كان مقبض Instagram الخاص بالبيت الأبيض في عهد أوباما، غير النشط منذ عام 2017، وحساب كبير أفراد القوات الجوية الأمريكية جون بنتيفينيا من القوات الفضائية الأمريكية، وفقًا للمعلومات التي نشرتها TechCrunch. أكدت الباحثة الأمنية جين مانشون وونغ بنفسها أن حسابها قد تم الاستيلاء عليه من قبل مجهولين.
« تم تغيير كلمة المرور دون علمي وكنت أتلقى محاولات مختلفة لإعادة تعيين كلمة المرور طوال الأمس، » قالت جين مانشون وونغ في منشور على X. ( « The password got changed without my knowledge and I was getting different password reset attempts throughout yesterday. »)
وفقًا لشهادات متعددة نُشرت عبر الإنترنت، كان للحسابات المستهدفة سمة مشتركة: أسماء مستخدمين قصيرة أو نادرة أو ذات قيمة تجارية عالية، مطلوبة في الأسواق السوداء حيث يمكن إعادة بيعها بأسعار مرتفعة. وبالتالي، يبدو أن اختيار الضحايا لم يكن عشوائيًا.
المصادقة المزدوجة، الدرع الوحيد الفعال
نقطة حاسمة تبرز من تحليل هذا الحادث: لم يعمل الخلل إلا على الحسابات التي تفتقر إلى المصادقة المزدوجة. أوضح Dark Web Informer ذلك صراحة في منشوره على X المصحوب بالفيديو التوضيحي: سمح الاستغلال بإعادة تعيين كلمات المرور فقط على الحسابات التي لم يتم تمكين المصادقة متعددة العوامل عليها. هذا التوضيح يغير بشكل كبير قراءة القضية.
لذلك، تشكل المصادقة المزدوجة على Instagram خط الدفاع الأول ضد هذا النوع من هجمات الهندسة الاجتماعية. على الحسابات المحمية بهذا الإجراء، حتى لو تمكن المهاجم من ربط عنوان بريد إلكتروني احتيالي عبر روبوت الدردشة، لكان قد تم حظره بسبب الحاجة إلى التحقق من عامل ثانٍ، عبر تطبيق مصادقة أو عبر الرسائل القصيرة، لا يمكن للمالك الشرعي فقط تقديمه. هذا تذكير ملموس بالفائدة الأساسية لهذا الحماية، والتي غالبًا ما يتجاهلها المستخدمون الذين يحتفظون بإعدادات الأمان الافتراضية.
مشكلة هيكلية لروبوتات الدردشة الداعمة
يوضح هذا الحادث ضعفًا يتجاوز مجرد خطأ برمجي. نماذج اللغة الكبيرة التي تشغل روبوتات الدردشة الداعمة لا تحتوي بطبيعتها على آلية للتحقق من الهوية. إنها تعالج استعلامات نصية، وتقيم مدى معقوليتها، وتستجيب وفقًا لذلك. لذلك، يمكن لصياغة معقولة بما فيه الكفاية، بالتنسيق الصحيح، أن تدفعها إلى تنفيذ إجراءات حساسة دون أي تحكم بشري في الحلقة.
يثير هذا الهيكل سؤالًا أساسيًا لجميع الشركات التي قامت بدمج وكلاء الذكاء الاصطناعي في عمليات دعم العملاء الخاصة بها: ما هي درجة الأذونات الممنوحة لهذه الأنظمة؟ في حالة Meta، كان مساعد دعم Meta AI لديه على ما يبدو القدرة على تعديل معلومات الحساب دون مصادقة مسبقة للمستخدم الطالب. ثبت أن هذا المستوى من التفويض غير متوافق مع متطلبات الأمان لمنصة يستخدمها مليارات الأشخاص حول العالم.
Meta تسد الثغرة وتركز على حماية القاصرين
كان رد فعل Meta سريعًا. أكد آندي ستون، المتحدث باسم Instagram، نشر الإصلاح في منشور على X نُشر في 2 يونيو 2026. لم يتم الإبلاغ عن العدد الدقيق للحسابات المخترقة، ولم ترد الشركة على طلب TechCrunch للتعليق وقت نشر المقال.
في سياق مختلف تمامًا، أعلنت Meta أيضًا في 2 يونيو 2026 في بيان رسمي عن النشر العالمي لإعدادات محتوى جديدة لحسابات المراهقين على Instagram و Facebook و Messenger. تم تمكين هذا الجهاز، المسمى « إعداد محتوى 13+ » والمستوحى من تصنيفات الأفلام بالإضافة إلى ردود فعل الآباء، افتراضيًا للقصر. تشير المنصة أيضًا إلى أنها تختبر وظيفة تهدف إلى الحد من التعرض المتكرر لبعض أنواع المحتوى التي قد تؤثر على الصحة العقلية للمستخدمين الشباب، مثل المنشورات حول التغذية أو إدارة القلق، عند رؤيتها بكميات كبيرة. وفقًا لـ Meta، احتفظ تسعة من كل عشرة مراهقين لديهم إمكانية الوصول إلى هذا الإعداد به منذ إطلاقه في أكتوبر 2025 في الولايات المتحدة والمملكة المتحدة وأستراليا وكندا.
بالنسبة لأي مستخدم لـ Instagram، فإن الدرس المستفاد من هذا الحادث فوري: تمكين المصادقة المزدوجة في إعدادات أمان الحساب يظل الإجراء الأبسط والأكثر فعالية للحماية من هذا النوع من الهجمات، بغض النظر عن مدى تعقيدها. في نظام بيئي حيث يمكن للأدوات المصممة للمساعدة أن تصبح نواقل للتطفل، لم يعد الاعتماد على عامل تحقق مستقل عن روبوت الدردشة خيارًا.
