ذكاء Meta الاصطناعي يسلم حسابات Instagram للهاكرز بطلب بسيط

مقدمة تحليلية

في الثالث من يونيو 2026، كشفت تقارير أمنية موثقة عن موجة اختراقات واسعة النطاق استهدفت منصة Instagram، حيث تمكن المهاجمون من الاستيلاء على حسابات رقمية مميزة وحساسة دون الحاجة إلى برمجيات خبيثة أو تقنيات هندسة اجتماعية معقدة. المفارقة الصادمة تكمن في أن الأداة الرئيسية التي سهّلت هذه الهجمات لم تكن سوى روبوت الدردشة المدعوم بالذكاء الاصطناعي الذي أطلقته شركة Meta حديثاً لأتمتة الدعم الفني وحل مشكلات الحسابات وسرقة الهويات الرقمية.

بدأت الأزمة تطفو على السطح عندما اشتكى عشرات المستخدمين على منصات التواصل الاجتماعي من فقدان مفاجئ للوصول إلى حساباتهم، وخاصة أولئك الذين يمتلكون معرفات نادرة وقصيرة تُعرف باسم 'OG handles'، والتي تباع بآلاف الدولارات في الأسواق الرمادية والسوداء كقطع فريدة. وعلى الرغم من تصريحات المتحدث الرسمي باسم شركة Meta، آندي ستون (Andy Stone)، التي أكد فيها أن المشكلة تم إصلاحها بحلول يوم الاثنين الأول من يونيو 2026، إلا أن التقارير الميدانية والمحادثات المسربة من قنوات الهاكرز على تطبيق Telegram أكدت استمرار استغلال هذه الثغرة لعدة أيام تلت هذا الإعلان، مما اضطر الشركة إلى إرسال موجات من رسائل البريد الإلكتروني التحذيرية لمطالبة المستخدمين المستهدفين بإعادة تعيين كلمات مرورهم بشكل عاجل.

تعكس هذه الحادثة الخلل البنيوي الحاد في استراتيجيات الأتمتة الكاملة للعمليات الحساسة داخل الشركات التقنية الكبرى. إن التسرع في استبدال الكوادر البشرية في قطاع الدعم الفني وحماية الحسابات بنماذج لغوية ذكية، دون إرساء قواعد تحقق صارمة وغير قابلة للتلاعب، يفتح ثغرات أمنية كارثية تتجاوز بكثير مخاطر الهجمات التقنية التقليدية.

التحليل التقني

لفهم آلية هذا الاختراق، يجب العودة إلى الإعلان الذي أصدرته Meta في مارس 2026، والذي كشفت فيه عن دمج مساعد دعم يعتمد بالكامل على الذكاء الاصطناعي (AI Support Assistant). تم تصميم هذا المساعد ليكون قادراً على حل مشكلات الحسابات المعقدة من البداية وحتى النهاية، بما في ذلك القدرة على إعادة تعيين كلمات المرور وتحديث بيانات الاتصال المرتبطة بالحسابات بشكل آمن ودون أي تدخل بشري.

من الناحية التقنية، سلك المهاجمون مساراً يتسم بالبساطة المفرطة التي تجعل تسميته 'اختراقاً' بمثابة مبالغة تقنية:

• تبدأ العملية بفتح جلسة محادثة مع روبوت الدعم الذكي التابع لشركة Meta.
• يقوم المهاجم بتقديم ادعاء غير موثق للروبوت بأنه المالك الشرعي للحساب المستهدف (مثل حسابات ذوي الأسماء الفريدة أو حسابات شخصية عامة).
• يطلب المهاجم من روبوت الذكاء الاصطناعي تعديل البريد الإلكتروني الأساسي المرتبط بالحساب وربطه ببريد إلكتروني جديد يسيطر عليه المهاجم مباشرة.
• بدلاً من مطالبة المستخدم بإثباتات هوية صارمة مثل الهوية الحكومية أو التحقق الثنائي المتقدم (2FA) المعتمد على الأجهزة، قام نظام الدعم الآلي بتحديث قاعدة البيانات داخلياً وتغيير البريد الإلكتروني فوراً بناءً على الطلب اللفظي المباشر.
• بعد نجاح الروبوت في تعديل البريد الإلكتروني، يرسل المهاجم طلباً تقليدياً لاستعادة كلمة المرور عبر البريد الإلكتروني الجديد، مما يمكنه من تغيير كلمة المرور بالكامل وطرد المالك الأصلي من حسابه بشكل نهائي.

هذا الضعف الهيكلي يعود إلى عيوب في تصميم واجهة البرمجة والتخاطب الخاصة بنموذج LLM المستخدم في الدعم، حيث تفتقر إلى طبقة التحقق الحاسم (deterministic verification) لضمان مطابقة الهوية قبل تنفيذ الإجراءات الحساسة (Write Actions). لقد تعامل النموذج مع الأوامر النصية على أنها توجيهات برمجية موثوقة ذات صلاحيات إدارية (Admin Privileges) دون التأكد من أن المستخدم مخول بإصدار مثل هذه الأوامر. شملت قائمة الضحايا حسابات لجهات رسمية وحساسة، من بينها حساب رئيس الرقباء في القوة الفضائية الأمريكية، جون بنتيفيغنا (John Bentivegna)، في حين نفت ميتا صحة الأنباء التي تحدثت عن اختراق الحساب القديم لإدارة أوباما الرئاسية بالأسلوب نفسه.

السياق وتأثير السوق

تاريخياً، كان الاستيلاء على معرفات Instagram النادرة (OG Usernames) يتطلب مهارات تقنية متقدمة وشبكة علاقات معقدة. كان المهاجمون يعتمدون على هجمات تبديل شريحة الهاتف (SIM-Swapping)، أو إرسال حملات تصيد احتيالي موجهة (Spear-Phishing)، أو حتى تقديم رشاوي مالية لموظفين فاسدين يعملون لدى شركات الاتصالات أو داخل منصات التواصل الاجتماعي نفسها لتغيير بيانات الحسابات يدوياً.

بيد أن إطلاق ميتا لنظام الدعم الذكي المؤتمت أدى إلى انهيار هذه الحواجز الأمنية بالكامل، حيث انخفضت تكلفة وصعوبة الاختراق إلى مستوى الصفر تقريباً. تحول 'طلب' بسيط مكتوب بلغة طبيعية إلى مفتاح فوري لسرقة الحسابات، مما تسبب في إغراق الأسواق الرمادية لبيع الحسابات بالمعرفات المسروقة بأسعار زهيدة مقارنة بالماضي، نظراً لسهولة الإنتاج والتدفق الكثيف للحسابات المخترقة على قنوات الهاكرز في منصات مثل Telegram.

من منظور السوق، تضع هذه الأزمة ضغوطاً هائلة على شركات التقنية الكبرى التي تهرع حالياً لإحلال الذكاء الاصطناعي التوليدي محل الكوادر البشرية لخفض التكاليف التشغيلية. تظهر الحادثة بوضوح أن تكلفة الفشل الأمني والأضرار التي تلحق بالسمعة وثقة المستخدمين قد تفوق بكثير الوفورات المالية الناتجة عن تسريح موظفي الدعم الفني البشريين.

رؤية Glitch4Techs

تعتبر هذه الكارثة الأمنية دليلاً قاطعاً على أن صناعة التقنية تعاني من اندفاع أعمى وغير محسوب نحو دمج الذكاء الاصطناعي في الوظائف الحساسة دون فهم كامل للثغرات المنطقية الكامنة في هذه النماذج. إن منح روبوت محادثة يعتمد على معالجة اللغات الطبيعية صلاحيات تعديل بيانات قواعد البيانات الحيوية للمستخدمين يمثل جهلاً مطبقاً بأساسيات الهندسة الأمنية (Security Engineering).

في منصة Glitch4Techs، نرى أن المشكلة لا تكمن في روبوت المحادثة نفسه، بل في غياب مبدأ 'الدفاع العميق' (Defense in Depth). يجب ألا تمتلك واجهات الذكاء الاصطناعي صلاحية مباشرة للقيام بعمليات تعديل البيانات (State-changing operations) بشكل مستقل. كان ينبغي على مهندسي Meta حصر دور الذكاء الاصطناعي في توجيه المستخدمين لشرح الإجراءات، بينما تُترك العمليات الحساسة مثل تغيير البريد الإلكتروني الأساسي أو تعطيل التحقق الثنائي لنظام برمجى صارم وحاسم (Deterministic System) يتطلب مستندات رسمية وتأكيداً متعدد القنوات، أو إبقائها تحت إشراف عنصر بشري في حلقة اتخاذ القرار (Human-in-the-loop).

نتوقع أن تؤدي هذه الفضيحة الأمنية إلى تراجع مؤقت في حماس الشركات لأتمتة الدعم الفني الخاص بالقطاعات الحساسة، وسنشهد قريباً فرض تشريعات ومعايير أمنية صارمة تمنع النماذج اللغوية الكبيرة من التحكم المنفرد بإجراءات الهوية الرقمية، ما لم تكن هناك آليات تحقق حيوية مشفرة وغير قابلة للتلاعب كلياً.