Sztuczna inteligencja coraz częściej przejmuje zadania wykonywane wcześniej przez pracowników obsługi klienta. Firmy technologiczne przekonują, że dzięki temu użytkownicy otrzymują pomoc szybciej, a koszty działania usług są niższe. Jak pokazuje najnowsza historia związana z Meta, takie rozwiązania mogą jednak prowadzić do bardzo poważnych problemów.
Okazuje się, że cyberprzestępcy znaleźli zaskakująco prosty sposób na przejmowanie kont na Instagramie. Nie wykorzystywali zaawansowanych luk w zabezpieczeniach ani skomplikowanych narzędzi. Wystarczyło odpowiednio sformułowane polecenie skierowane do chatbota obsługi klienta opartego na sztucznej inteligencji.
Pomocny asystent
Według informacji opublikowanych przez serwis 404 Media atakujący wykorzystywali automatycznego asystenta pomocy technicznej Meta do zmiany adresu e-mail przypisanego do wybranego konta na Instagramie. Schemat działania był wyjątkowo prosty. Cyberprzestępcy mieli najpierw ukrywać swoją lokalizację za pomocą sieci VPN, a następnie wysyłać do bota wiadomość z prośbą o przypisanie nowego adresu e-mail do konkretnego profilu. Sztuczna inteligencja akceptowała takie żądanie bez przeprowadzenia dodatkowej weryfikacji tożsamości użytkownika. System wysyłał link do resetowania hasła bezpośrednio na adres wskazany przez atakującego. To wystarczało do przejęcia pełnej kontroli nad profilem.
Ofiarami były znane konta
Najbardziej niepokojące jest to, że problem nie dotyczył pojedynczych użytkowników. Według doniesień przejmowane były profile o dużej rozpoznawalności i znaczącej liczbie obserwujących. Według serwisu Media 404, atakujący przejęli m.in konto Baracka Obamy z czasów prezydentury w Białym Domu czy konto starszego sierżanta Sił Kosmicznych USA.
Osoby, które straciły dostęp do swoich kont, twierdziły dodatkowo, że nie mogły skutecznie skontaktować się z żywym konsultantem. Po przejęciu profilu pozostawały skazane na kontakt z automatycznymi systemami wsparcia, które nie potrafiły rozwiązać problemu. To pokazuje ryzyko związane z nadmiernym poleganiem na automatyzacji procesów obsługi klienta, szczególnie gdy dotyczą one tak wrażliwych operacji jak zmiana danych logowania czy odzyskiwanie dostępu do konta.
Meta stawia na automatyzację
W marcu Meta ogłosiła wdrożenie narzędzi AI do obsługi wszystkich użytkowników Facebooka i Instagrama. Automatyczny asystent otrzymał możliwość wykonywania ważnych operacji związanych z kontami, w tym właśnie resetowania haseł i zarządzania ustawieniami bezpieczeństwa.
Firma coraz mocniej inwestuje w rozwój sztucznej inteligencji. Według wcześniejszych doniesień medialnych Meta zwolniła ponad 8 tys. pracowników, a kolejne tysiące zostały przesunięte do projektów związanych z AI. W teorii takie działania mają przyspieszyć rozwój nowych usług. W praktyce opisana sytuacja pokazuje, że nawet pozornie proste systemy oparte na sztucznej inteligencji mogą stać się poważnym zagrożeniem, jeśli zabraknie odpowiednich zabezpieczeń.
Ta luka została załatana, ale mogą ich powstać setki
Po nagłośnieniu sprawy głos zabrał Andy Stone, wiceprezes ds. komunikacji w Meta. Poinformował, że luka została już usunięta. To dobra wiadomość dla użytkowników Instagrama, ale cały incydent prowokuje ważne pytanie. Czy firmy technologiczne nie przekazują sztucznej inteligencji zbyt dużych uprawnień, zanim upewnią się, że potrafi ona skutecznie odróżnić prawdziwego właściciela konta od oszusta?
W czasach, gdy AI odpowiada za coraz więcej kluczowych procesów, podobne błędy mogą mieć znacznie poważniejsze konsekwencje niż tylko utrata dostępu do profilu w mediach społecznościowych. Oby na taki pomysł nie wpadły banki, domy maklerskie czy mObywatel…
Źrodło: AndroidAuthority