ثغرة أمنية بالغة الخطورة في MetaAI كادت تهدد حسابات المستخدمين قبل معالجتها

ثغرة في نظام الدعم الذكي لدى Meta، كشفت كيف يمكن للهندسة الاجتماعية أن تتحول إلى أداة خطيرة عندما تتعامل مع أنظمة مؤتمتة يفترض أنها مخصصة للمساعدة فقط، فقد تمكّن مهاجمون من استغلال روبوت دعم يعتمد على الذكاء الاصطناعي لإرسال روابط إعادة تعيين كلمة المرور إلى أهداف مختارة بعناية، من دون تحقق كافٍ من الهوية.

كيف بدأت القصة

بحسب ما كشفه باحثان متخصصان في تتبع الجرائم السيبرانية، استُخدم أسلوب خداع لغوي ضد روبوت الدعم التابع لـ Meta، إذ جرى دفعه إلى تنفيذ إجراء حساس يتمثل في إرسال روابط إعادة تعيين كلمة المرور، والمشكلة الأساسية كانت أن الروبوت لم يطلب تحققاً ثنائياً أو دليلاً موثوقاً يثبت هوية من يطلب الإجراء، ما جعل العملية عرضة للاستغلال.

لماذا كانت هذه الثغرة مقلقة؟

أهمية الحادثة لا ترتبط فقط بكونها خللاً تقنياً، بل لأنها مست جوهراً حساساً في منظومة الأمان، فإعادة تعيين كلمة المرور ليست خطوة عادية، بل مفتاح مباشر للسيطرة على الحساب، وعندما تكون الحسابات ذات قيمة عالية، يصبح أي تساهل في التحقق نقطة ضعف كبيرة يمكن أن يستفيد منها المهاجمون بسرعة.

أبرز جوانب الخطورة

• إجراء حساس: إعادة تعيين كلمة المرور تمنح وصولاً فعلياً إلى الحساب.
• تحقق غير كافٍ: الروبوت أرسل الروابط من دون تأكيد ثنائي مناسب.
• استغلال لغوي: الهجوم اعتمد على الهندسة الاجتماعية لا على كسر تقني مباشر.

من استُهدف في الهجوم؟

التحقيقات أشارت إلى أن الهجوم لم يكن موجهاً إلى مستخدمين عاديين، بل إلى حسابات قصيرة الاسم وذات عدد كبير من المتابعين، وهي حسابات تُعد أصولاً رقمية مطلوبة بشدة، وتُتداول في أسواق موازية عبر قنوات مغلقة مثل تيليغرام، وقد تصل قيمتها إلى ملايين الدولارات مجتمعة.

لماذا هذه الحسابات مطلوبة؟

• ندرتها: الحسابات القصيرة قليلة ومميزة.
• قيمتها التجارية: كثرة المتابعين تجعلها ذات وزن تسويقي واضح.
• سرعة الاستحواذ: السيطرة عليها تمنح تأثيراً فورياً من دون بناء جمهور جديد.

كيف استُخدم الذكاء الاصطناعي ضد نفسه

المفارقة أن النظام المصمم لتسهيل الدعم تحول إلى نقطة استغلال، فبدلاً من أن يكون الذكاء الاصطناعي حاجزاً وقائياً، أصبح أداة استجابة ساعدت المهاجمين على تنفيذ ما أرادوا، وهذا يوضح أن الخطر لا يأتي دائماً من ثغرات برمجية تقليدية، بل قد يظهر في منطق اتخاذ القرار نفسه عندما يكون حساساً وغير محاط بضوابط صارمة.

ما الذي فعلته Meta بعد اكتشاف المشكلة؟

أكدت Meta أنها أغلقت الثغرة سريعاً، كما شددت على أنه لم يحدث اختراق مباشر لأنظمتها، ومع ذلك فإن سرعة الإغلاق لا تلغي الدرس الأهم، وهو أن أتمتة الدعم تحتاج إلى طبقات تحقق متعددة، لأن الاعتماد على الردود الآلية وحدها قد يفتح الباب أمام الاحتيال إذا كانت السيناريوهات الأمنية غير مكتملة.

الهندسة الاجتماعية لم تعد تستهدف البشر فقط

الهجوم يوضح تحوّلاً مهماً في أساليب الاحتيال الرقمي، فالمهاجمون لم يحاولوا اقتحام النظام بالقوة، بل تحدثوا مع روبوت الدعم بطريقة مقنعة لغوياً، وهذا يعني أن الأنظمة التي تتعامل مع اللغة الطبيعية أصبحت بدورها هدفاً للهندسة الاجتماعية، لا مجرد وسيلة دفاع أو خدمة.

ما الذي ينبغي أن تتضمنه أنظمة الدعم المؤتمتة؟

• تحقق متعدد المستويات: قبل تنفيذ أي إجراء حساس.
• مصادقة أقوى: مثل التطبيقات المخصصة لتوليد الرموز المؤقتة.
• قيود واضحة: تمنع الاستجابة التلقائية للطلبات عالية الخطورة.

هل كان بإمكان المستخدمين تجنب الضرر؟

في هذه الحادثة تحديداً، لم يكن العبء على المستخدمين وحدهم، لأن الخلل كان داخل المنصة نفسها، لكن هذا لا يلغي أهمية الحماية الشخصية، فربط الحساب ببريد إلكتروني مخصص وغير معروف، وتفعيل المصادقة متعددة العوامل عبر تطبيقات توليد الرموز، يظل من أفضل الوسائل لتقليل فرص الاستحواذ غير المشروع.

ما الدرس الذي تقدمه هذه الحادثة؟

تكشف الواقعة أن السرعة في تقديم الدعم لا يجب أن تأتي على حساب الأمان، فكلما توسع استخدام الذكاء الاصطناعي في الإجراءات التشغيلية، أصبحت الحاجة إلى رقابة دقيقة وتحقق صارم أكثر إلحاحاً، لأن الثقة المفرطة في الردود الآلية قد تتحول إلى مدخل خطير لاختراق الحسابات، وهذا ما يجعل متابعة التطورات الأمنية عبر بوابة مصر مهمة للقارئ المهتم بفهم تأثير الذكاء الاصطناعي على الأمان الرقمي.