في الهندسة الاجتماعية قاعدة راسخة: أسهل طريقة لاختراق نظام هي إقناعه بأنك مخوَّل. وهذا بالضبط ما فعله مجهولون مع مساعد الدعم الذكي لـ"ميتا"، حين حوّلوه من أداة حماية إلى مفتاح دخول.

نهاية   آيار/مايو الماضي،بدأت تتسرب عبر قنوات متخصصة على "تلغرام" تعليمات مفصّلة تشرح ثغرة في منطق المساعد الذكي لاستعادة حسابات "إنستغرام" لدى "ميتا". لم تكن الثغرة في الكود، بل في القرار: كان المساعد يقبل إضافة عنوان بريد إلكتروني جديد إلى حساب قائم ضمن إجراءات إعادة تعيين كلمة المرور، من دون التحقق الكافي من هوية الطالب.

الاستغلال كان يسيراً بشكل مقلق. يضع المهاجم عنوان IP قريباً جغرافياً من الضحية عبر VPN، يطلب إعادة تعيين كلمة المرور، يفتح محادثة مع المساعد الذكي، ويخرج في النهاية برمز تحقق يُرسَل إلى بريده هو وليس إلى صاحب الحساب الأصلي. ثلاث خطوات، وحساب في يد شخص آخر.

الأهداف كشفت حجم الاختراق وطبيعته. سقطت حسابات بارزة بينها حساب مرتبط بالبيت الأبيض من عهد الرئيس أوباما، وحساب كبار رقباء قوات الفضاء الأميركية، ونُشرت عليها رسائل مؤيدة لإيران قبل أن تُستعاد. وعلى المسار الآخر — المالي — ادّعى المهاجمون أنهم استولوا على أسماء مستخدمين قصيرة ذات قيمة سوقية تتجاوز نصف مليون دولار، وهي سوق خفية وراسخة تُتداول فيها حيازة الهويات الرقمية النادرة.

صورة تعبيرية مولّدة بالذكاء الاصطناعي

ردّت "ميتا" بتحديثٍ أمني طارئ خلال عطلة نهاية الأسبوع، مؤكدةً أن قواعد بياناتها الداخلية لم تتعرض لأي اختراق. وهذا صحيح تقنياً لكنه يغفل جوهر المشكلة. ما جرى ليس اختراقاً للبنية التحتية، بل استغلال لمنطق النظام نفسه. وهو نوع من الهجمات يصعب رصده مبكراً لأنه لا يُطلق أي إنذارات: كل خطوة فيه تبدو مشروعة من منظور النظام.

ما تكشفه هذه الحادثة أعمق من ثغرة واحدة. إنها تُعيد طرح سؤال لم تجب عنه الشركات الكبرى بعد: حين يتولى الذكاء الاصطناعي إدارة هويات المستخدمين والتحقق منهم، من يتحقق من الذكاء الاصطناعي نفسه؟ أنظمة الدعم الذكي مُصمَّمة لتكون متساهلة بما يكفي لمساعدة المستخدم الحقيقي الذي نسي كلمة مروره، وهذا بالضبط ما يجعلها هدفاً.

وأظهرت الحادثة أيضاً أهمية المصادقة المتعددة العوامل (MFA). فبحسب ما ذكره المهاجمون الذين نشروا تفاصيل الاستغلال، فإن طريقتهم لم تنجح مع الحسابات التي كانت هذه الميزة مفعّلة عليها، ما يشير إلى أن طبقة التحقق الإضافية كانت كافية لإحباط عملية الاستيلاء على الحسابات عبر هذا المسار، لا لأن المهاجمين لم يستهدفوا تلك الحسابات بالضرورة، بل لأن وجود خطوة تحقق إضافية عطّل السلسلة التي اعتمدت عليها عملية الاستغلال.