وبحسب ما نقلته 404 Media في 1 يونيو، أكدت شركة Meta أن قراصنة استغلوا ثغرة في روبوت خدمة العملاء المعتمد على الذكاء الاصطناعي لديها، وتمكنوا من الاستيلاء على عدة حسابات على إنستغرام معروفة. وتشمل الحسابات المتضررة الحسابات الرسمية الخاصة بفترة الرئيس الأمريكي السابق أوباما في البيت الأبيض، والعلامة التجارية العالمية في مجال مستحضرات التجميل Sephora، إضافة إلى الحساب الرسمي للقائد العام (Master Chief) للولايات المتحدة ضمن سلاح الجو المكاني.
سلسلة الهجوم الكاملة خطوة بخطوة: كيف تم التحايل على روبوت خدمة العملاء بالذكاء الاصطناعي
وفقًا للفيديو الذي استشهدت به 404 Media، والذي شاركه مجتمع القراصنة وخبراء أمن سيبراني على تطبيق Telegram، فإن سير عملية الهجوم هذه قد تم التحقق منه:
إخفاء الموقع: يستخدم المهاجمون VPN، لتزييف الموقع الشبكي وجعله يطابق المنطقة/البلد المرتبط بحساب الهدف
إرسال الطلب: يراسل المهاجم روبوت خدمة العملاء Meta AI عبر الدردشة، ويطلب ربط حساب الهدف ببريد إلكتروني جديد تزوّد به الجهة المهاجمة
استلام رمز التحقق: يقوم روبوت خدمة العملاء Meta AI بإرسال رمز تحقق مكوّن من 8 أرقام إلى البريد الجديد الذي يقدّمه المهاجم
إتمام الاستيلاء: يقوم المهاجم بإدخال رمز التحقق داخل واجهة الدردشة، والحصول على صلاحيات إعادة تعيين كلمة المرور، والسيطرة الكاملة على حساب IG المستهدف
تشير توضيحات Meta الرسمية إلى أنه عند تغيير بريد الحساب، يفترض أن يقوم النظام بإرسال إشعار إلى البريد الأصلي يتضمن رابط استعادة خاص، إلا أن ثغرة روبوت خدمة العملاء Meta AI حالت دون تفعيل هذه الآلية بشكل صحيح.
رد Meta الرسمي: تم إصلاح الثغرة، ولم تُعلن بعد أعداد الحسابات المتأثرة
أكدت Meta رسميًا أن واقعة الهجوم السيبراني صحيحة، وأن الثغرة تم إصلاحها بالكامل، وأنها تعمل حاليًا مع الحسابات المتضررة لتعزيز الحماية. ولم تكشف الشركة عن إجمالي عدد الحسابات المتأثرة حتى وقت إعداد الخبر.
تم إطلاق مساعد خدمة Meta AI في أوائل 2026، حيث زعمت أنه يمكنه مساعدة المستخدمين في التعامل مع طلبات محورية مثل إعادة تعيين كلمات المرور واستعادة أمان الحسابات. وبعد أشهر من إطلاقه، اندلعت واقعة الهجوم هذه.
خلفية تسريح العمال: أعلنت Meta تسريح 8,000 موظف في 20 مايو 2026
وجّه Mark Zuckerberg في 20 مايو 2026 إشعارًا بتسريح العمال إلى موظفين حول العالم، يشمل إلغاء خدمات نحو 8,000 موظف (بنسبة 10% من إجمالي الموظفين)، بهدف خفض تكاليف التشغيل، لتوفير تمويل لإنفاق رأسمالي للذكاء الاصطناعي متوقع يصل إلى 125 إلى 145 مليار دولار أمريكي، ودفع الإدارة نحو هيكلة أكثر تسطيحًا.
ووفقًا لما ورد في تقرير نشرته Wired، سجلت Meta في الربع الأول من 2026 رقمًا قياسيًا لأرباح اقترب من 27 مليار دولار أمريكي، لكن معنويات الموظفين داخليًا هبطت إلى أدنى مستوياتها. وقال Huang Wenjin عند إعلانه عن تعرض الحسابات للاختراق: «تهانينا لـ Meta على تسريح فريق الثقة والأمان (T&S)، وتفويض دعم الحسابات إلى روبوتات AI يسهل خداعها لمعالجة الأمور بشكل آلي». ولم تقدم جهة Meta توضيحًا رسميًا بشأن حجم الموظفين الذين تم تسريحهم من فريق T&S، وتأثير ذلك على قدرات الأمن السيبراني.
الأسئلة الشائعة
ما المشكلة الجوهرية في ثغرة روبوت خدمة العملاء Meta AI؟
وفقًا لتقرير 404 Media، عند تلقي روبوت خدمة العملاء Meta AI لطلب تغيير بريد الحساب، يقوم بإرسال رمز التحقق إلى صندوق البريد الجديد الذي يقدمه المهاجم، دون فرض تفعيل آلية أمان تقضي بإرسال إشعار أو رابط استعادة إلى صندوق البريد الأصلي. في الظروف الطبيعية، يجب أن يتلقى البريد الأصلي إشعارًا عند تغيير البريد، لكن تطبيق روبوت خدمة العملاء بالذكاء الاصطناعي التفت على هذا التحقق.
ما الحسابات المعروفة التي أكدت أنها تأثرت؟ وهل أعلنت Meta العدد الإجمالي للحسابات المتضررة؟
تشمل الحسابات المعروفة المؤكدة كحسابات متأثرة حساب إنستغرام الرسمي المرتبط بفترة الرئيس الأمريكي السابق أوباما في البيت الأبيض، وعلامة مستحضرات التجميل Sephora، إضافة إلى الحساب الرسمي للقائد العام (Master Chief) في سلاح الجو المكاني الأمريكي. أكدت Meta صحة واقعة الهجوم، لكنها لم تعلن حتى وقت إعداد الخبر عن إجمالي عدد الحسابات المتضررة.
ما العلاقة المباشرة بين خطة تسريح العمال لدى Meta وهذه الواقعة الأمنية؟
أشار سلف بارز سابق لدى Meta، Huang Wenjin (Jane Manchun Wong)، بشكل علني إلى أن فريق T&S تعرض للتسريح، وبعد ذلك صار دعم الحسابات يُعالج بواسطة روبوتات AI، وذكر أن هذا يعد أحد عوامل الخلفية التي ساعدت على نجاح الهجوم. ولم تقدم جهة Meta توضيحًا رسميًا بشأن الحجم الفعلي لعدد موظفي T&S الذين تم تسريحهم، وتأثير ذلك على قدرات الحماية الأمنية بشكل عام.
