Блог PapAI Soft · Технологии

Чат-бот поддержки Meta* сам отдавал хакерам аккаунты Instagram*

Историю с «бабушкиным эксплойтом» можно было списать на курьёз. Но в начале июня 2026 года ролевые игры кончились: ИИ-бот поддержки сам, по инструкции, раздавал злоумышленникам доступ к чужим аккаунтам — включая аккаунты первых лиц.

Сергей Полухин·09.06.2026·4 мин. чтения

Что произошло

На выходных в конце мая 2026 года хакеры угнали серию заметных аккаунтов Instagram* — среди пострадавших называли аккаунт Белого дома времён Обамы, профиль высокопоставленного военного и бренд-аккаунт крупной сети. Механика оказалась обезоруживающе простой. Атакующий через VPN подменял геолокацию, открывал чат с ИИ-ассистентом поддержки Meta* и просил добавить к аккаунту новый email. Бот отправлял код подтверждения — но на почту злоумышленника. Тот возвращал код в чат, и ассистент послушно выдавал сброс пароля, отдавая полный контроль над аккаунтом.

По данным TechCrunch, сломавшего историю, так было скомпрометировано порядка 20 000 аккаунтов, а сам бот фактически обходил двухфакторную аутентификацию. В Meta* заявили, что уязвимость уже устранена, но деталей и числа пострадавших не раскрыли.

Почему это провал именно ИИ-агента

Это не «взлом» в классическом смысле и даже не джейлбрейк с хитрым промптом. Бот сделал ровно то, что ему разрешили: он был ИИ-агентом с правом выполнять чувствительные действия — менять email и сбрасывать пароль — через вызов функций. Провал не в «уме» модели, а в архитектуре: боту дали доступ к критичным операциям без проверки, что запрос исходит от настоящего владельца. Не было независимой (out-of-band) верификации, и ассистент трактовал стандартный сценарий поддержки буквально.

Что из этого следует для бизнес-бота

Урок универсален и не зависит от масштаба компании. Как только бот получает право действовать — менять данные, проводить платежи, выдавать доступы, — он становится новой точкой входа для атак. Отвечать на вопросы и выполнять критичные операции — это два разных уровня доверия, и второй нельзя отдавать модели без страховки.

Мы проектируем ботов по принципу наименьших привилегий: чувствительные действия требуют подтверждения и независимой проверки личности, бот работает в узкой зоне ответственности, а «опасные» операции уходят человеку. Это часть слоя guardrails и обязательный пункт, когда на кону персональные данные и 152-ФЗ. Подробнее — в материале о том, безопасно ли давать ИИ доступ к данным.

*Instagram и Facebook принадлежат компании Meta Platforms Inc., которая признана в России экстремистской организацией; её деятельность на территории РФ запрещена.

Хотите внедрить ИИ в свой бизнес?

Покажем демо на вашем бизнес-кейсе — бесплатно, до заключения договора. Запуск от 7 дней.