رصد ثغرة مزعومة ترتبط بتكامل نظام Meta AI مع إجراءات استعادة حسابات Instagram، قد تتيح بدء عملية إعادة تعيين كلمة المرور لبعض الحسابات. وأوضحت التقارير التقنية أن الجهات الفاعلة في مجال التهديد وجدت طريقة للتلاعب بمساعد Meta AI.
وبحسب التقارير، تتمحور المشكلة حول سيناريو يقوم فيه المهاجمون بإشراك نظام مدعوم بالذكاء الاصطناعي في محادثة وتوجيهه بطريقة تسمح بإرسال رابط أو رمز إعادة تعيين كلمة المرور إلى أطراف غير مصرح لها، وتجاوز اختبارات التحقق من الهوية، حتى في حالات تكون فيها المصادقة الثنائية مفعلة. ولم يرد في التقرير ما يؤكد وجود استغلال واسع النطاق أو يحدد نطاق الحسابات المتأثرة، إلا أن الخلل نبع من ضوابط غير كافية في كيفية معالجة الذكاء الاصطناعي لطلبات استعادة الحساب، سمحت لأي شخص يعرف اسم المستخدم المستهدف ببدء عملية الاستيلاء. كما أكدت Meta أن هذا الاستغلال لم يكن اختراقاً تقليدياً للخوادم أو الأنظمة الخلفية، بل كان الخلل كامناً في طبقة المنطق (Logic Layer) للذكاء الاصطناعي، والتي افتقرت إلى فرض قيود المعدل (Rate-limiting) أو التحقق من الهوية قبل الاستجابة لطلبات إعادة التعيين.
وتكتسب هذه المسألة أهمية خاصة بالنظر إلى طبيعة الوظيفة محل الادعاء؛ إذ لا تُعد عملية إعادة تعيين كلمة المرور إجراء عادياً في أنظمة المنصات الاجتماعية، فهي تمثل نقطة تحكم مباشرة في ملكية الحساب. وأي خلل في فصل صلاحيات المساعدات الآلية عن أنظمة التحقق قد يفتح الباب أمام محاولات الاستيلاء على الحسابات أو انتحال هوية المستخدمين.
ويأتي هذا التقرير امتداداً لواقعة سابقة شهدها شهر يناير 2026، حين أعلنت Instagram عن إصلاح مشكلة سمحت لطرف خارجي بطلب رسائل إعادة تعيين كلمة المرور لبعض المستخدمين، مؤكدة في ذلك الوقت عدم حدوث أي اختراق لأنظمتها واستمرار أمان الحسابات. ورغم اختلاف التفاصيل المعلنة بين الواقعتين، إلا أنهما تعكسان حساسية مسارات استعادة الحساب عندما تتقاطع مع أتمتة العمليات والرسائل الأمنية والتنبيهات الموجهة للمستخدمين.
وحتى الآن، لم تصدر إفادة عامة واضحة من شركة Meta تؤكد تفاصيل هذا الادعاء الجديد أو تنفيه. ونتيجة لذلك، تظل المعالجة الدقيقة للخبر مرتبطة بما ورد في التقرير الأصلي، مع ضرورة التمييز بين وجود ثغرة مؤكدة ذات نطاق موثق، وبين ادعاء أمني يتطلب تحققاً فنياً أو بياناً رسمياً من الشركة المطورة.
وفي هذا السياق، تظل الإجراءات الأساسية لحماية المستخدمين قائمة وذات أهمية عليا، وتتمثل في مراجعة البريد الإلكتروني ورقم الهاتف المرتبطين بالحساب، تفعيل المصادقة الثنائية عبر تطبيق موثوق، الاحتفاظ برموز الاسترداد في مكان آمن، وتجنب التعامل مع رسائل إعادة التعيين غير المتوقعة أو روابط الدعم الواردة من خارج القنوات الرسمية. أما على مستوى المنصات، فيبرز التحدي التقني في وضع حدود صارمة لوكلاء الذكاء الاصطناعي ضمن إجراءات الهوية والوصول، بما يضمن عدم امتلاكهم صلاحيات تنفيذية في مسارات حساسة دون وجود نظام تحقق مستقل ومتعدد الطبقات.
