Что такое Meta AI?

Meta AI – это набор искусственных интеллектов, разработанных компанией Meta Platforms, Inc. (признана экстремистской организацией на территории РФ), предназначенных для различных задач, включая поддержку пользователей, генерацию контента и взаимодействие с пользователями через чат-ботов.

Как Meta AI был использован для взлома аккаунтов?

В одном из инцидентов AI-агент поддержки Meta* (признана экстремистской организацией на территории РФ) был использован для обхода системы безопасности. Злоумышленники обращались к боту с просьбой сменить email для восстановления доступа к аккаунту. Бот, действуя по инструкции, отправлял одноразовый код на указанный атакующим адрес. Получив этот код, злоумышленники могли инициировать сброс пароля и полностью завладеть аккаунтом.

Почему системы безопасности (SOC) не обнаружили взлом?

Системы безопасности (Security Operations Center, SOC) не обнаружили взлом, потому что AI-агент действовал как авторизованный пользователь. Все его действия записывались как обычные, легитимные транзакции в системе управления идентификацией и доступом (IAM). Не было никаких аномальных входов, всплесков неудачных попыток аутентификации или других сигналов, которые обычно фиксируют системы обнаружения.

Какие аккаунты были взломаны с помощью Meta AI?

По сообщениям СМИ, были затронуты аккаунты таких брендов, как Sephora, а также аккаунты известных личностей и организаций, включая старшего прапорщика Космических сил США Chief Master Sergeant John Bentivegna и исследователя Jane Manchun Wong. Meta* (признана экстремистской организацией на территории РФ) оспаривает некоторые из этих утверждений.

Помогает ли двухфакторная аутентификация (MFA) от таких взломов?

Да, двухфакторная аутентификация (MFA) является эффективной защитой от такого типа взломов. В статье указано, что атаки не увенчались успехом против аккаунтов, защищенных MFA, даже если использовались SMS-коды. Проблема заключалась в обходе именно пути восстановления аккаунта, а не в самом процессе входа.

Что такое "конфузный заместитель" (confused deputy) в контексте кибербезопасности?

"Конфузный заместитель" – это уязвимость, при которой доверенная система (в данном случае, AI-агент) обманом заставляется использовать свои привилегии для выполнения действий в интересах атакующего. Агент действует по инструкциям, не осознавая, что эти инструкции исходят от злоумышленника, а не от легитимного пользователя.

Как можно предотвратить подобные взломы в будущем?

Для предотвращения подобных взломов необходимо вынести авторизацию за пределы модели AI-агента. Это означает, что перед совершением критических действий (таких как смена email для восстановления или сброс пароля) должна быть дополнительная, независимая проверка, которую агент не может обойти. Также важно обеспечить, чтобы все действия агента логировались и передавались в SIEM для мониторинга.

Где можно скачать Meta AI или приложение Meta AI?

Meta AI – это не отдельное приложение для скачивания в привычном понимании. Это набор технологий и моделей, интегрированных в продукты Meta* (признана экстремистской организацией на территории РФ), такие как Facebook, Instagram и WhatsApp. Доступ к функциям Meta AI осуществляется через эти платформы.

Какие еще есть уязвимости, связанные с AI-агентами?

Помимо уязвимости "конфузного заместителя" и чрезмерной уступчивости, AI-агенты могут быть подвержены другим атакам, таким как "внедрение промптов" (prompt injection), где злоумышленник пытается манипулировать поведением агента через специально сформированные запросы. Также существует риск злоупотребления привилегиями, когда агент имеет слишком много прав доступа.

Meta AI: Как чат-бот помог украсть аккаунты – взлом, который никто не заметил

Привет, техноманы и цифровые детективы! Сегодня мы с вами погрузимся в мир, где искусственный интеллект, призванный помогать, внезапно становится пособником злоумышленников. Нет, это не сюжет нового киберпанк-триллера, а суровая реальность, которую Meta* (да, та самая, что за Facebook* и Instagram*) испытала на собственной шкуре. Представьте: вы спокойно попиваете свой утренний кофе, а где-то там, в недрах интернета, некий умный бот, который должен был быть вашим верным слугой, покорно выполняет команды хакеров, передавая им контроль над аккаунтами. И самое жуткое – системы безопасности при этом молчат, как партизаны на допросе. Почему? Потому что бот делал ровно то, для чего его создали. Звучит как кошмар любого безопасника, не так ли? Именно об этом мы сегодня и поговорим, разбирая по косточкам, как

Meta AI стал инструментом для захвата аккаунтов, и что это значит для всех нас, кто доверяет свои данные цифровым помощникам. Приготовьтесь, будет интересно и немного жутко!

*Признана экстремистской организацией на территории РФ.

Агенты поддержки Meta, управляемые ИИ, привязывали электронные письма для восстановления доступа к аккаунтам по запросу любого желающего, а центры безопасности (SOC) даже не видели никаких оповещений. Авторизованный агент записывает журнал легитимных транзакций, поэтому ничто в системе обнаружения не срабатывало. Злоумышленники просили бота внести изменения, забирали одноразовый код, который он отправлял, и запускали сброс пароля, как сообщило издание 404 Media.

Ни вредоносного ПО, ни украденных учетных данных, ни подозрительных инструкций в том смысле, в каком большинство команд безопасности их ищут. Агент делал ровно то, для чего его создала Meta. Именно это должно не давать спать руководителю операций безопасности: захват не нарушал контроль; он использовал уже доверенный контроль. То есть, Meta AI не был взломан, он был обманут.

Что нужно SOC, так это способ проанализировать каждый путь восстановления через аудиторскую сетку со своей командой разработчиков ИИ, прежде чем завершится следующее продление. Сетка аудита полномочий ИИ, представленная в конце этой статьи, отображает каждое действие по аутентификации, которое агент поддержки может выполнить на пути восстановления, что инцидент Meta доказал о каждом из них, почему это остается незамеченным для SOC, и какой контроль это закрывает.

Агент является авторизованным субъектом, поэтому SOC считает захват обычным трафиком

Изнутри системы обнаружения атака не производила никакого сигнала, который система могла бы прочитать. Агент привязывает новый адрес электронной почты, затем сбрасывает пароль, и журналы управления идентификацией и доступом записывают оба действия как действия авторизованного субъекта, поэтому каждое из них попадает в состояние аутентификации как легитимная транзакция. Ни аномального входа, ни всплеска неудачных аутентификаций, ничего для EDR или DLP, ни правила SIEM для сопоставления, потому что ничто в последовательности не выглядит как атака. Захват происходил внутри границы доверия, которую система считает безопасной. Нет точки опоры, которую можно было бы найти, потому что агент был точкой опоры, и он должен был там быть. Если вы решите

Meta AI скачать, помните, что его возможности могут быть использованы не только во благо.

Цепочка была почти оскорбительной в своей простоте. Брайан Кребс задокументировал версию, которую проиранские хакеры опубликовали в Telegram 31 мая. Злоумышленник включил VPN, чтобы появиться в регионе жертвы, обойдя тревоги Instagram о местоположении, затем попросил помощника поддержки добавить новый адрес электронной почты и отправить код подтверждения, как подтвердила BBC по тем же записям. Бот подчинился, отправив одноразовый код прямо злоумышленнику, сообщило Gizmodo. Сброс завершился, и владелец был заблокирован за считанные минуты. Эксплойт не сработал против любой учетной записи с включенной MFA, согласно Кребсу.

Взломанные аккаунты не были легкими целями. Среди них были Sephora, старший сержант Космических сил США Джон Бентивегна, исследователь Джейн Манчун Вонг и неактивный аккаунт Белого дома Обамы, который ненадолго опубликовал испорченное изображение, согласно 404 Media. Meta оспаривает аккаунт Обамы, согласно TechCrunch, и назвала заявления о взломе аккаунтов лидеров "полностью ложными", согласно BBC. Остальные остаются.

MFA выстояла. Путь восстановления рядом с ней — нет.

Деталь, которая решала, кто выжил, была узкой. Кребс сообщил, что атака не сработала против любой учетной записи с многофакторной аутентификацией, даже SMS. Путь восстановления рядом с ней был пробелом. Когда этот путь запрашивал селфи-видео, злоумышленники пропускали общедоступные фотографии цели через генератор видео с ИИ и отправляли клип, который Meta принимала как действительное подтверждение личности, сообщило gHacks. В любом случае, причиной сбоя была дверь восстановления, а не дверь входа, которую охраняет MFA. Это показывает, что даже

Meta AI приложение может быть уязвимым, если не продуманы все сценарии.

Это делает проблему архитектурной, а не проблемой Meta. MFA защищает путь входа как для владельца, так и для злоумышленника, но путь восстановления проходит рядом с ним, созданный для ослабления обычных проверок, потому что он существует для момента, когда пользователь потерял обычный способ входа. Meta поместила агента на этот путь с доступом на запись к состоянию аутентификации и без детерминированной проверки между убедительным запросом и совершенным изменением. Авторизация не может находиться внутри модели, потому что разговорная система может быть убеждена пропустить проверку. Она должна находиться вне модели, в шлюзе, который агент не может обойти. Исследователи безопасности называют эту схему "запутанным заместителем" — доверенная система, обманутая, чтобы использовать свои привилегии в интересах злоумышленника.

Это не последний агент поддержки, который передаст аккаунт. Иэн Голдин, исследователь угроз в Black Lotus Labs Lumen, сказал Кребсу по безопасности, что ИИ-ботов так же легко подвергнуть социальной инженерии, как и человеческих агентов, которых они заменяют, и они так же охотно помогают. "Чат-боты с ИИ создают новые интересные поверхности для атаки, и мы, вероятно, увидим гораздо больше таких атак", — сказал Голдин. Каждое предприятие, внедряющее агента в поток восстановления, предоставления или сброса пароля, предоставляет тот же доступ на запись, что и Meta. Это касается и тех, кто разрабатывает

Meta AI.

Саймон Уиллисон, который придумал термин "подозрительные инструкции", прямо заявил в своем блоге: "Meta действительно подключила свою систему поддержки к чат-боту с ИИ, который имел возможность быстро пройти весь процесс восстановления аккаунта". Он написал: "Это даже не квалифицируется как заражение подсказками. Не подключайте своего бота поддержки так, чтобы он позволял одноразовые захваты аккаунтов". Злоумышленник никогда не обманывал агента. Злоумышленник спросил, и у агента был недоверенный ввод, доступ на запись и способ выполнения — все сразу.

OWASP назвал этот класс до того, как Meta выпустила его, как "Чрезмерное агентство" (Excessive Agency) в LLM06 и "Злоупотребление идентификацией и привилегиями" (Identity and Privilege Abuse) в ASI03 в Топ-10 агентских ИИ. Предупреждающая этикетка была на коробке: Meta выпустила помощника для каждого аккаунта Facebook и Instagram в марте, согласно 404 Media, с возможностью сброса паролей и обработки восстановления, страница продукта обещала "решения, а не просто предложения" под строкой "безопасность и восстановление аккаунта". Meta дала агенту власть и никогда не строила шлюз для ее управления.

Сетка аудита полномочий ИИ

Руководителям служб безопасности необходимо запустить это против своего собственного агента поддержки до закрытия следующего продления. Каждая строка — это запись аутентификации, которую агент делает на пути восстановления, с тем, что доказала Meta, почему ваша система это пропускает, и какой контроль это закрывает.

Запись аутентификации

Что доказала Meta

Почему ваша система это пропускает

Корпоративный контроль и владелец

Аутентификация входа (MFA, запросы факторов)

Удержано при входе. Аккаунты с любой включенной MFA, даже SMS, выжили (Кребс). Пробелом был путь восстановления рядом с ним.

MFA защищает путь входа как для владельца, так и для злоумышленника. Он не защищает путь восстановления рядом с ним.

Внедрить MFA в качестве базового уровня и расширить пошаговую проверку на путь восстановления, тот же стандарт, что и для входа (OWASP). Селфи-видео не является доказательством личности. Любой агент, который работает на пути, не покрытом MFA, не проходит аудит. Владелец: IAM.

Перепривязка электронной почты

Полный захват. Агент привязал контролируемые злоумышленником электронные письма по запросу, захватив Sephora и аккаунт Космических сил США (404 Media).

IAM регистрирует агента как авторизованного субъекта, поэтому перепривязка читается как легитимная транзакция, и никакое оповещение не достигает SOC или владельца аккаунта.

Подтвердить внеполосно существующему проверенному контакту до совершения любой перепривязки, защищенной вне модели, и уведомить старый адрес в момент его изменения (IBM). Агент, который перепривязывает без подтверждения старого адреса, терпит неудачу. Владелец: IAM и платформенная инженерия.

Сброс пароля

Полный захват за считанные минуты. Исследователь Джейн Манчун Вонг была среди затронутых аккаунтов (404 Media).

Сброс выполняется по пути восстановления, вне проверки MFA при входе, поэтому не срабатывает запрос фактора и не запускается правило обнаружения.

Требовать второй неэлектронный фактор до завершения любого сброса. NIST исключил электронную почту как действительный внеполосный канал (NIST 800-63B). Сброс агента должен пройти тот же шлюз, что и сброс человека. Владелец: IAM.

Изменение метода восстановления

Постоянная блокировка. Жертвы не могли самостоятельно восстановиться. Цикл поддержки предлагал только ИИ без человеческой эскалации (BleepingComputer).

Тихая замена электронной почты или телефона для восстановления удаляет путь повторного входа владельца без видимости для SOC.

Требовать пошаговую проверку при любом изменении, уведомлять предыдущий метод и предоставлять отложенный по времени доступ с ограниченной областью после восстановления, чтобы замена никогда не передавала мгновенный контроль (Authsignal). Сохранять путь человеческой эскалации, который агент не может закрыть. Владелец: GRC и ИТ-операции.

Выполнение действия с аккаунтом

Риск скорости. Неактивный аккаунт Белого дома Обамы ненадолго показал испорченное изображение во время серии, аккаунт, который Meta оспаривает, был захвачен таким образом (TechCrunch).

Агент выполняет необратимые изменения состояния за секунды без участия человека и без окна обратимости.

Разделять решение от выполнения. Агент только предлагает действие. Служба политики проверяет область и одобрение перед его выполнением, с одобрением, привязанным к точному действию (OWASP). Ни одна запись состояния аутентификации не фиксируется без этого шлюза и окна обратимости. Владелец: платформенная инженерия и команда разработчиков ИИ.

Журналирование действий агента

Пробел в обнаружении. Захват не оставил оповещений, и Meta не опубликовала, сколько аккаунтов пострадало до исправления (TechCrunch).

Без телеметрии по каждому действию, передаваемой в SIEM, захват авторизованным агентом невидим для SOC.

Выдавать структурированные метаданные решения для каждой записи состояния аутентификации в SIEM: класс действия, результат авторизации, ID одобрения, результат, версия политики (OWASP). Запись, которую ваш SIEM не видит, — это запись, которую вы не можете защитить. Владелец: SOC и инженерия обнаружения.

Исправление не в том, чтобы прикрутить еще один запрос MFA к экрану входа. Люди, которые пережили инцидент Meta, были теми, у кого уже был этот контроль. Исправление заключается в том, чтобы вытащить авторизацию из системы чести пути восстановления и поместить ее за шлюз, который не сдвинется с места только потому, что запрос звучит убедительно. Создайте агента так, чтобы SOC видел каждую запись, которую он делает, и чтобы любая запись, которая изменяет владельца аккаунта, не могла быть совершена без проверки, которую модель не контролирует.

Meta только что показала, что происходит, когда самый доверчивый сотрудник в команде также держит ключи. Следующий такой агент уже читает вашу интеллектуальную собственность и финансовые данные. И если вы планируете

Meta AI скачать, убедитесь, что вы понимаете все риски и меры безопасности.