Что произошло
На выходных в конце мая 2026 года хакеры угнали серию заметных аккаунтов Instagram* — среди пострадавших называли аккаунт Белого дома времён Обамы, профиль высокопоставленного военного и бренд-аккаунт крупной сети. Механика оказалась обезоруживающе простой. Атакующий через VPN подменял геолокацию, открывал чат с ИИ-ассистентом поддержки Meta* и просил добавить к аккаунту новый email. Бот отправлял код подтверждения — но на почту злоумышленника. Тот возвращал код в чат, и ассистент послушно выдавал сброс пароля, отдавая полный контроль над аккаунтом.
По данным TechCrunch, сломавшего историю, так было скомпрометировано порядка 20 000 аккаунтов, а сам бот фактически обходил двухфакторную аутентификацию. В Meta* заявили, что уязвимость уже устранена, но деталей и числа пострадавших не раскрыли.
Почему это провал именно ИИ-агента
Это не «взлом» в классическом смысле и даже не джейлбрейк с хитрым промптом. Бот сделал ровно то, что ему разрешили: он был ИИ-агентом с правом выполнять чувствительные действия — менять email и сбрасывать пароль — через вызов функций. Провал не в «уме» модели, а в архитектуре: боту дали доступ к критичным операциям без проверки, что запрос исходит от настоящего владельца. Не было независимой (out-of-band) верификации, и ассистент трактовал стандартный сценарий поддержки буквально.
Что из этого следует для бизнес-бота
Урок универсален и не зависит от масштаба компании. Как только бот получает право действовать — менять данные, проводить платежи, выдавать доступы, — он становится новой точкой входа для атак. Отвечать на вопросы и выполнять критичные операции — это два разных уровня доверия, и второй нельзя отдавать модели без страховки.
Мы проектируем ботов по принципу наименьших привилегий: чувствительные действия требуют подтверждения и независимой проверки личности, бот работает в узкой зоне ответственности, а «опасные» операции уходят человеку. Это часть слоя guardrails и обязательный пункт, когда на кону персональные данные и 152-ФЗ. Подробнее — в материале о том, безопасно ли давать ИИ доступ к данным.
*Instagram и Facebook принадлежат компании Meta Platforms Inc., которая признана в России экстремистской организацией; её деятельность на территории РФ запрещена.
