5. lipnja 404 Media izvijestio je da su napadači koristili Meta-in AI agent za korisničku podršku kako bi ukrali Instagram račune. Njihov pristup bio je jednostavan: tražili su od agenta da poveže račune s email adresama koje su kontrolirali, a agent je to prihvatio. Jedan napadač upao je u neaktivni račun Bijele kuće Obame i objavio pro-iranske postove; drugi su preuzeli račune s vrijednim, jednoslojnim korisničkim imenima, vjerojatno kako bi ih prodali.
Brige o sigurnosti AI sustava nisu nove. Nakon što je Anthropic u travnju objavio da je njihov Mythos model toliko dobar u hakiranju da ga nije moguće objaviti javnosti, komentatori, istraživači i savezni dužnosnici usmjerili su pažnju na ideju da supermoćni AI sustavi mogu uništiti našu računalnu infrastrukturu. Međutim, ovaj Instagram hak nije bio takav slučaj: ovdje je AI bio cilj, a ne napadač, a metoda je bila daleko jednostavnija od onoga što bi Mythos mogao smisliti. Kako tvrtke sve više prebacuju posao na AI, ovakvi relativno nesofisticirani napadi mogli bi izazvati vlastitu štetu.
„Kako AI postaje sve više korišten—osobito kada se koristi za automatizaciju naših radnih tokova, poput oporavka računa—mislim da će napadači biti sve više motivirani napasti sam AI,“ kaže Neil Gong, profesor elektrotehnike i računalnog inženjerstva na Sveučilištu Duke. Gong i drugi znanstvenici već neko vrijeme upozoravaju na sigurnosne ranjivosti AI agenata. Objavljuju radove i blog postove koji detaljno opisuju eksploatacije poput neizravne injekcije prompta, koja uključuje otmicu agenata pomoću komandi skrivenih na web stranicama, e-mailovima ili drugim naizgled bezopasnim izvorima podataka.
U usporedbi s tim tehnikama, Meta hak bio je praktički bezumljen. Jedina komplikacija koju su hakeri morali prevladati bila je korištenje VPN-a koji odgovara pravoj lokaciji vlasnika računa; zatim su izravno tražili od agenta za podršku da promijeni email adresu računa, a agent je to prihvatio. Meta nije javno komentirala kako je ta ranjivost prošla neprimijećeno. No, s obzirom na jednostavnost eksploatacije, Gong kaže da je to trebalo lako otkriti prije nego što je agent bio pušten u rad. „Zaista je iznenađujuće,“ kaže. „Ne razumijem zašto nisu pronašli ovaj jednostavan problem.”
Jessica Ji, viša analitičarka istraživanja u Georgetownovom Centru za sigurnost i nove tehnologije, slaže se. „Postavlja se pitanja kao što su: Jesu li uopće postojale zaštitne mjere?” kaže. „Je li itko pomislio testirati ovakve scenarije?” Napominje da je propust posebno upečatljiv dolazi iz tvrtke poput Mete, koja ima opsežno iskustvo u AI i kibernetskoj sigurnosti. Meta se nije oglasila na upit za komentar na ovaj članak, ali je u ponedjeljak glasnogovornik Mete rekao na X-u da je ranjivost riješena.
