Ranljivost Instagram Meta AI računa omogućuje napadačima resetiranje lozinki

Kako funkcionira navodni exploit Meta AI chatbota

Izviještena ranjivost u Meta-inom alatu za oporavak računa pokretanom umjetnom inteligencijom na Instagramu izazvala je ozbiljnu uzbunu među sigurnosnim istraživačima. Prema objavi, propust se nalazi u Meta-inom AI chatbotu, koji je dizajniran kako bi pomogao korisnicima da povrate pristup zaključanim ili kompromitiranim računima. Napadači koji iskorištavaju ranjivost Instagram Meta AI računa navodno mogu manipulirati chatbotom putem pažljivo oblikovanih unosa, nagovarajući ga da proslijedi informacije za resetiranje lozinke na adresu ili kontakt pod kontrolom napadača, umjesto na legitimnog vlasnika računa.

Jezgra eksploita uključuje ono što istraživači nazivaju „manipulacijom promptom” ili „ubacivanjem prompta” (eng. prompt injection), tehniku u kojoj maliciozni unosi prevare AI sustav da zanemari svoje predviđene sigurnosne ograde. U ovom slučaju, tijek oporavka računa chatbota očito nedostaje dovoljno koraka provjere kako bi se potvrdilo da je osoba koja traži resetiranje zapravo zakoniti vlasnik računa. Davanjem botu specifičnih uputa ili konteksta, napadač bi mogao potpuno preusmjeriti proces oporavka. Rezultat je potpuno preuzimanje računa, postignuto ne probijanjem lozinke brute-force napadom ili izravnim phishingom korisnika, već iskorištavanjem samog AI sloja.

Meta u trenutku pisanja nije izdala detaljan javni odgovor na prijavljenu ranjivost. Čitatelji trebaju uzeti u obzir da objava dolazi od sigurnosnih istraživača te da puni opseg pogođenih računa ostaje nepotvrđen.

Zašto je oporavak računa vođen umjetnom inteligencijom strukturalni sigurnosni rizik

Ovaj navodni propust nije samo bug u pojedinačnom chatbotu. On ukazuje na širi arhitektonski problem s korištenjem alata temeljenih na velikim jezičnim modelima u visokorizičnim autentifikacijskim radnjama. Tradicionalni sustavi za oporavak računa oslanjaju se na krutu logiku temeljenu na pravilima: potvrdi adresu e‑pošte, provjeri telefonski broj, verificiraj identifikacijski dokument. AI chatboti izgrađeni su drugačije. Dizajnirani su da budu fleksibilni, konverzacijski i uslužni, osobine koje su doista korisne za korisničku podršku, ali postaju teret kada je zadatak verificirati identitet prije nego što se preda pristup računu.

Napadi ubacivanjem prompta na AI sustave sve su bolje dokumentirani, a sigurnosni stručnjaci godinama upozoravaju da postavljanje umjetne inteligencije u osjetljive kontekste bez robusnih zaštitnih mjera stvara iskoristive propuste. Kada AI alat ima ovlast pokrenuti resetiranje lozinke, čak i djelomična manipulacija njegovim procesom donošenja odluka može imati ozbiljne posljedice. Incident s Meta AI chatbotom u potpunosti se uklapa u ovaj obrazac.

Ovo je dio zabrinjavajućeg šireg trenda na Meti. Platforma povlači određene zaštite privatnosti na Instagramu, potez koji zagovornike privatnosti zabrinjava zbog ukupne sigurnosne pozicije platforme. Instagram ukida enkripciju: što trebate znati objašnjava kako Metina odluka da ukloni end-to-end enkripciju iz izravnih poruka povećava ove rizike za korisnike koji dijele osjetljiv sadržaj na platformi.

Koji su korisnici najviše izloženi riziku i što napadači ciljaju

Nije svaki Instagram račun jednako privlačan napadačima koji iskorištavaju ovakvu ranjivost. Visokovrijedne mete uglavnom spadaju u određene kategorije: influenceri i kreatori sadržaja s velikim brojem pratitelja, poslovni računi povezani s oglašivačkim budžetom ili e-trgovinom, novinari i aktivisti koji mogu imati osjetljive razgovore u izravnim porukama te računi povezani s identitetima brendova koji imaju značajnu komercijalnu vrijednost.

Za napadače je uspješno preuzimanje računa putem AI exploita za oporavak posebno privlačno jer zaobilazi mnoge uobičajene obrane. Ako napadač može navesti chatbot da pošalje poveznicu za resetiranje na njihov kontakt umjesto na vaš, vaša snažna lozinka postaje nebitna. Povijest vašeg računa i povezana adresa e‑pošte nisu nikakva zaštita. Upravo zato ova ranjivost, ako bude potvrđena u većim razmjerima, predstavlja kvalitativno drugačiju prijetnju od standardnog phishing napada.

Također valja napomenuti da zlonamjerni akteri sve češće djeluju istovremeno na više platformi i kroz više vektora prijetnji. Kompromitirani računi na društvenim mrežama često se koriste kao polazište za daljnje napade na kontakte, pratitelje i povezane usluge. Prijetnja ne prestaje na vašem Instagram feedu.

Što ovo znači za vas: slojevita obrana i hitni koraci koje treba poduzeti

S obzirom na ovu prijavljenu ranjivost, najučinkovitija hitna mjera jest izravna revizija vaših sigurnosnih postavki na Instagramu u samoj aplikaciji. Idite na Postavke, zatim Sigurnost i pregledajte svaku aktivnu sesiju prijave, povezane aplikacije i informacije o kontaktima za oporavak. Uklonite sve sesije ili veze s aplikacijama trećih strana koje ne prepoznajete.

Osim te revizije, slojevita obrana ostaje vaša najjača zaštita čak i kada postoji propust na razini platforme:

• Uključite dvofaktorsku autentifikaciju (2FA): Gdje god je moguće koristite autentifikacijsku aplikaciju umjesto SMS‑a. Čak i ako napadač dođe do poveznice za resetiranje, 2FA dodaje ključnu dodatnu barijeru.
• Koristite jedinstvenu, snažnu lozinku: Upravitelj lozinki tu pomaže. Kompromitirani tijek oporavka manje je koristan napadaču ako i dalje ne može dovršiti prijavu bez vašeg drugog faktora.
• Pregledajte svoje kontakte za oporavak računa: Provjerite jesu li adresa e‑pošte i telefonski broj u evidenciji oni koje samo vi kontrolirate te da su ti računi i sami osigurani snažnom autentifikacijom.
• Budite skeptični prema neželjenim zahtjevima za oporavak: Ako primite obavijest o resetiranju lozinke koju niste zatražili, smatrajte to potencijalnim napadom u tijeku i odmah osigurajte svoj račun.
• Koristite sigurnu mrežu: Obavljanje osjetljivog upravljanja računom preko javnog Wi‑Fi‑ja izlaže vaše sesijske podatke. VPN na nepouzdanim mrežama daje značajan sloj zaštite vašeg prometa.

Presjek AI sustava i sigurnosti računa još uvijek je relativno novo područje i pružatelji platformi tek uče gdje leže točke kvara. Ova prijavljena ranjivost Instagram Meta AI računa rani je i jasan primjer onoga što se događa kada se konverzacijskoj umjetnoj inteligenciji da ovlast nad kritičnim sigurnosnim procesima bez dostatnih zaštitnih mjera. Dok Meta ne izda službenu zakrpu ili detaljan odgovor, tretiranje vlastite sigurnosne higijene kao primarne linije obrane najpraktičniji je pristup.

Odvojite nekoliko minuta danas i pregledajte svoje sigurnosne postavke na Instagramu. S obzirom na širi kontekst Metinog razvoja privatnosti i sigurnosti, proaktivnost u higijeni računa važnija je nego ikad.