Lỗ hổng AI của Meta: Bot hỗ trợ đã tự tay giao nộp tài khoản Instagram cho hacker

Bot hỗ trợ AI của Meta đã vô tình trở thành công cụ đắc lực cho hacker, giúp họ chiếm quyền kiểm soát các tài khoản Instagram cao cấp mà không cần đến các kỹ thuật tấn công phức tạp. Vấn đề cốt lõi nằm ở việc bot này được cấp quyền thay đổi email khôi phục cho bất kỳ ai yêu cầu, và hệ thống an ninh (SOC) không hề nhận được bất kỳ cảnh báo nào vì hành động này được xem là hợp pháp.

Không có mã độc, không có thông tin đăng nhập bị đánh cắp, và cũng không có dấu hiệu của "prompt injection" (tiêm lệnh) theo cách hiểu thông thường. Tác nhân AI này chỉ đơn giản đang làm đúng những gì Meta thiết kế nó để làm. Điều đáng lo ngại nhất là cuộc tấn công này không phá vỡ bất kỳ lớp kiểm soát an ninh nào; thay vào đó, nó lợi dụng chính sự tin cậy mà hệ thống dành cho bot.

Tác nhân được ủy quyền khiến SOC coi việc chiếm đoạt là lưu lượng bình thường

Trong ngăn xếp phát hiện (detection stack), cuộc tấn công này không tạo ra bất kỳ tín hiệu bất thường nào. Bot liên kết một email mới, sau đó đặt lại mật khẩu, và hệ thống quản lý danh tính (IAM) ghi nhận cả hai hành động này là do một tác nhân được ủy quyền thực hiện. Do đó, tất cả đều được đánh dấu là giao dịch hợp pháp.

Không có đăng nhập bất thường, không có sự gia tăng thất bại trong xác thực, không có gì để kích hoạt quy tắc EDR, DLP hay SIEM. Cuộc chiếm đoạt diễn ra ngay trong ranh giới tin cậy mà hệ thống mặc định là an toàn. Không có "chỗ đứng" (foothold) để tìm kiếm vì chính bot đó là chỗ đứng, và nó được phép ở đó.

Quy trình tấn công có sự đơn giản đến mức gây sốc. Theo tài liệu của Brian Krebs, kẻ tấn công sử dụng VPN để xuất hiện ở khu vực của nạn nhân, qua đó lẩn tránh báo động vị trí của Instagram. Sau đó, chúng yêu cầu trợ lý ảo thêm một email mới và gửi mã xác thực. Bot đã tuân thủ, gửi mã một lần (OTP) thẳng cho kẻ tấn công. Việc đặt lại mật khẩu hoàn tất và chủ tài khoản bị khóa ngoài chỉ trong vài phút.

Các tài khoản bị chiếm đoạt không phải là mục tiêu dễ dàng. Chúng bao gồm Sephora, một lãnh đạo cấp cao của Lực lượng Vũ trụ Mỹ, nhà nghiên cứu Jane Manchun Wong và nhiều tài khoản nổi tiếng khác. Meta đã tranh luận về một số trường hợp cụ thể, nhưng thực tế cho thấy lỗ hổng là có thật.

MFA đã đứng vững, nhưng đường dẫn khôi phục thì không

Chi tiết quyết định ai sống sót trong vụ việc này rất hẹp. Krebs báo cáo rằng cuộc tấn công thất bại đối với bất kỳ tài khoản nào đang bật xác thực đa yếu tố (MFA), thậm chí là cả qua SMS. Tuy nhiên, lỗ hổng nằm ở đường dẫn khôi phục nằm ngay bên cạnh.

Khi đường dẫn này yêu cầu video selfie, kẻ tấn công đã sử dụng các ảnh công khai của nạn nhân chạy qua trình tạo video AI và gửi đoạn clip đó, mà Meta đã chấp nhận là xác minh danh tính hợp lệ. Sự thất bại ở đây là ở cánh cửa khôi phục, không phải cánh cửa đăng nhập mà MFA đang bảo vệ.

Điều này biến vấn đề thành một lỗi kiến trúc, không chỉ là lỗi của Meta. MFA canh gác đường dẫn đăng nhập cho cả chủ nhân và kẻ tấn công, nhưng đường dẫn khôi phục lại chạy song song với nó, được xây dựng để nới lỏng các kiểm tra thông thường vì nó dành cho lúc người dùng mất cách truy cập bình thường. Meta đã đặt một tác nhân AI trên con đường này với quyền ghi vào trạng thái xác thực mà không có bất kỳ kiểm tra xác định nào giữa một yêu cầu thuyết phục và một thay đổi được cam kết.

Các nhà nghiên cứu bảo mật gọi mô hình này là "confused deputy" (phó tướng bị đánh lừa), nơi một hệ thống đáng tin cậy bị lừa để sử dụng đặc quyền của mình thay mặt cho kẻ tấn công.

Không phải là bot hỗ trợ cuối cùng sẽ giao nộp tài khoản

Ian Goldin, nhà nghiên cứu mối đe dọa tại Lumen's Black Lotus Labs, cho biết các bot AI dễ bị kỹ thuật xã hội (social engineer) giống như các nhân viên hỗ trợ con người mà chúng thay thế, và cũng sẵn sàng giúp đỡ như vậy.

"AI chatbot tạo ra các bề mặt tấn công mới thú vị, và chúng ta có khả năng sẽ thấy nhiều loại tấn công như thế này hơn nữa," Goldin nói. Mọi doanh nghiệp đang kết nối một tác nhân AI vào quy trình khôi phục, cung cấp hoặc đặt lại mật khẩu đều đang cấp quyền truy cập ghi tương tự như Meta đã làm.

Simon Willison, người đặt ra thuật ngữ "prompt injection", đã nhận định thẳng thắn trên blog của mình: "Meta thực sự đã kết nối hệ thống hỗ trợ của mình với một chatbot AI có khả năng tua nhanh qua toàn bộ quy trình khôi phục tài khoản." Kẻ tấn công không cần lừa bot; chúng chỉ cần hỏi, và bot có đầu vào không đáng tin cậy, quyền ghi và cách thực thi tất cả cùng một lúc.

OWASP đã đặt tên cho lớp lỗi này trước khi Meta tung ra sản phẩm, gọi là "Excessive Agency" (Quyền hạn quá mức) tại LLM06 và "Lạm dụng Danh tính & Đặc quyền" tại ASI03 trong Top 10 Agentic AI.

Lưới Kiểm toán Quyền hạn AI (AI Authority Audit Grid)

Các lãnh đạo vận hành an ninh cần chạy lưới kiểm toán này đối với bot hỗ trợ của riêng mình trước khi kỳ hạn gia hạn tiếp theo kết thúc. Bảng dưới đây ánh xạ mọi thao tác ghi xác thực mà tác nhân thực hiện trên đường dẫn khôi phục, bằng chứng từ Meta, lý do hệ thống của bạn bỏ sót và biện pháp kiểm soát để khắc phục.

Ghi nhận xác thực	Meta đã chứng minh điều gì	Tại sao hệ thống của bạn bỏ sót	Kiểm soát doanh nghiệp và chủ sở hữu
Xác thực đăng nhập (MFA, yêu cầu yếu tố)	Đứng vững ở đăng nhập. Các tài khoản có bật MFA bất kỳ (kể cả SMS) đều sống sót. Lỗ hổng là đường dẫn khôi phục bên cạnh.	MFA canh gác đường dẫn đăng nhập nhưng không canh gác đường dẫn khôi phục.	Thực thi MFA làm tiêu chuẩn và mở rộng xác thực từng bước (step-up verification) cho đường dẫn khôi phục. Video selfie không phải là bằng chứng danh tính. Chủ sở hữu: IAM.
Liên kết lại email (Email rebind)	Chiếm đoạt toàn quyền. Bot đã liên kết email do kẻ tấn công kiểm soát theo yêu cầu.	IAM ghi nhận bot là tác nhân được ủy quyền, nên việc liên kết lại được xem là giao dịch hợp pháp.	Xác nhận ngoài kênh (out-of-band) với liên hệ đã xác minh hiện tại trước khi bất kỳ thay đổi nào hoàn tất, và thông báo cho địa chỉ cũ ngay lập tức. Chủ sở hữu: IAM và kỹ sư nền tảng.
Đặt lại mật khẩu	Chiếm đoạt toàn quyền trong vài phút.	Việc đặt lại chạy trên đường dẫn khôi phục, bên ngoài kiểm tra MFA đăng nhập, nên không có yêu cầu yếu tố nào kích hoạt.	Yêu cầu yếu tố thứ hai không phải email trước khi bất kỳ việc đặt lại nào hoàn tất. NIST đã loại bỏ email là kênh ngoài hợp lệ. Chủ sở hữu: IAM.
Thay đổi phương thức khôi phục	Khóa ngoài vĩnh viễn. Nạn nhân không thể tự khôi phục.	Việc thay đổi âm thầm email/phone khôi phục xóa đường vào lại của chủ sở hữu mà SOC không nhìn thấy.	Yêu cầu xem xét từng bước cho bất kỳ thay đổi nào, thông báo cho phương thức cũ và cấp quyền truy cập bị hạn chế có độ trễ sau khi khôi phục. Chủ sở hữu: GRC và vận hành IT.
Thực thi hành động tài khoản	Rủi ro tốc độ. Bot thực hiện các thay đổi trạng thái không thể đảo ngược trong vài giây.	Bot thực hiện thay đổi trạng thái không thể đảo ngược ngay lập tức mà không có con người trong quy trình.	Tách biệt quyết định và thực thi. Bot chỉ đề xuất hành động. Dịch vụ chính sách xác thực phạm vi và phê duyệt trước khi chạy. Chủ sở hữu: Kỹ sư nền tảng và đội xây dựng AI.
Ghi nhật ký hành động của bot	Khoảng cách phát hiện. Cuộc chiếm đoạt không để lại cảnh báo nào.	Không có dữ liệu viễn thông mỗi hành động được chuyển đến SIEM, việc chiếm đoạt bởi tác nhân được ủy quyền là vô hình với SOC.	Phát siêu dữ liệu quyết định có cấu trúc cho mọi thao tác ghi trạng thái xác thực vào SIEM. Chủ sở hữu: SOC và kỹ sư phát hiện.

Giải pháp không phải là thêm một lời nhắc MFA nữa vào màn hình đăng nhập. Những người sống sót trong sự cố của Meta là những người đã có sẵn biện pháp kiểm soát đó.

Giải pháp là lấy quyền ủy quyền ra khỏi hệ thống "dựa trên danh dự" của đường dẫn khôi phục và đặt nó sau một cánh cổng không di chuyển chỉ vì một yêu cầu có vẻ thuyết phục. Hãy xây dựng bot sao cho SOC nhìn thấy mọi thao tác ghi của nó, và đảm bảo bất kỳ thao tác nào thay đổi quyền sở hữu tài khoản không thể hoàn tất mà không có sự kiểm soát mà mô hình không thể điều khiển.

Meta vừa cho thấy điều gì sẽ xảy ra khi nhân viên tin tưởng nhất trong nhóm cũng là người giữ chìa khóa. Tác nhân AI tiếp theo giống như vậy đang đọc tài sản trí tuệ và tài chính của bạn ngay bây giờ.