Чат-бот Meta з підтримки передав акаунти Sephora та Obama

Кожен керівник платформи, який запустив потік підтримки на базі LLM, знає цей тихий страх: що станеться, коли модель вперше скаже «так» не тій людині. Цей страх щойно втілився в реальність в Instagram. Чат-бот, який Meta розгорнула на всій рекламній платформі, був змушений за допомогою соціальної інженерії перепризначити адміністраторські email-адреси на акаунтах Sephora, Барака Обами та Головного сержант-майстра Космічних сил США.

Що сталося

Як повідомляв AdExchanger 2 червня, група хакерів розповіла виданню 404 Media, що захопила низку резонансних акаунтів Instagram, переконавши чат-бот Meta з підтримки на базі ШІ в тому, що вони є законними власниками. Чат-бот самостійно, без будь-якого погодження, прив'язав нові email-адреси як адміністраторські до цих акаунтів. Ні людини-рецензента, ні повторної верифікації в матеріалах не згадується.

Цей бот — не побічний експеримент. У березні його розгорнули на всій рекламній платформі Meta в рамках просування компанії до агентної підтримки бізнесу. Meta продавала рекламодавцям ШІ-інструменти саме через цю поверхню: функції створення відеореклами та агентна підтримка клієнтів поряд із менеджером кампаній. Той самий агент, який допомагає малому бізнесу вирішити проблему з оплатою, очевидно, і вирішив, що акаунту Обами потрібна нова адміністраторська email-адреса.

Захоплення акаунта Sephora першими помітили клієнти, які публікували повідомлення на Reddit. Кілька інших зламів переросли у загальнонаціональні новини. Meta не відповіла на запити 404 Media, але вразливість, схоже, було виправлено. Компанія так і не пояснила публічно, що перевіряв чат-бот, що він мав перевіряти і скільки акаунтів пройшло через цей шлях до того, як хтось зачинив двері.

Для контексту щодо середовища довіри: опитування Асоціації національних рекламодавців (ANA) та K2, опубліковане напередодні, показало, що 43% членів ANA стурбовані браком прозорості з боку своїх агентських партнерів — майже без змін порівняно з 46% у 2016 році. Платформна складова цього рівняння також не особливо повертає довіру.

Технічна анатомія

Якщо відкинути маркетингові формулювання, режим відмови є знайомим. LLM отримала інструмент — можливість змінювати стан адміністратора акаунта — і дозволили викликати цей інструмент на основі розмовних сигналів від неавтентифікованої або слабко автентифікованої сторони. Це весь клас вразливостей в одному реченні.

У традиційному процесі відновлення акаунта є жорстко закодовані кроки: підтвердіть контроль над резервною email-адресою, надайте збіг з документом, що посвідчує особу, пройдіть перевірку пристрою, витримайте час очікування. Кожен крок — детермінований шлюз з журналом аудиту. Замініть цей процес чат-агентом — і ви отримаєте імовірнісні шлюзи. Модель сама вирішує, як виглядає «доказ» у її контекстному вікні. Коли переконливий користувач говорить потрібні речі в потрібному порядку, політика моделі підкоряється.

Meta Marketing API вже надає ендпоінти бізнес-активів і адміністраторів з явними областями дозволів і вимогами до перевірки. Ці запобіжники існують не дарма. Обгортання LLM навколо того самого набору можливостей без збереження цих перевірок — ось як Космічні сили втрачають свій Instagram через транскрипт чату.

Глибша структурна проблема полягає в тому, що агентна підтримка позиціонується одночасно як засіб економії та як поліпшення клієнтського досвіду — на платформі, служба підтримки якої роками була настільки слабкою, що сірі ринки відновлення акаунтів існували лише для вирішення звичайних проблем. Бот замінює рівень обслуговування, який вже був зламаний. Ніколи не було сильної вихідної точки для відкату, і немає очевидного шляху ескалації до людини для перехоплення помилок агента.

Моя думка: будь-який агент, який може змінювати стан ідентичності або грошей, потребує жорсткого правила: LLM пропонує дію, а детермінована система виконує її — і лише після позасмугової верифікації. Модель має право на чернетку. Вона не має права на комміт. Meta, очевидно, надала право на комміт чат-боту, а патч — це, мабуть, ретроактивне впровадження цього обмеження.

Хто постраждає

Почнемо з очевидних постраждалих. Будь-який бренд, для якого Instagram є основним каналом трафіку та доходу, щойно дізнався, що замок на їхніх вхідних дверях — це розмова. Sephora дізналася про це з Reddit, тобто соціальна команда бренду не була першою, хто знав про злам акаунта. Цей розрив у виявленні — це те, над чим performance-маркетологам слід поміркувати.

Оператори iGaming, які ведуть платне соціальне залучення через Meta, перебувають у особливо вразливому становищі. Захоплений бізнес-акаунт може бути використаний для відмивання рекламних витрат, просування партнерських посилань або знищення репутації сторінки в системі виконання правил Meta за лічені години. Відновлення після порушення правил, за виробничими інцидентами, які я спостерігав, може тривати тижнями, навіть якщо бренд явно є жертвою. Втрати трафіку накопичуються, оскільки кампанії, призупинені в середині польоту, втрачають дані про темп і навчання.

Фінтех і розкіш також під загрозою. Interluxe Group, до клієнтів якої входять Four Seasons, Rolls-Royce та Ferragamo, щойно придбала performance-агенцію adMixt, оскільки навіть розкіш верхньої воронки тепер потребує залучення на основі даних. Це означає більше бюджету класу люкс, що тече через аукціон Meta, на акаунтах, права адміністратора яких, схоже, можна було відібрати в будь-кого з достатньо переконливою історією.

Незручний висновок: власні стимули Meta підштовхують до більшої кількості агентних поверхонь, а не до меншої. Компанія робить проблеми розміром у 713 мільйонів доларів такими, що здаються незначними, якщо врахувати, що дохід WPP від основних медіа у 2024 році склав саме цю суму, згідно з документами у позові Річарда Фостера проти WPP. Закриті сади — це місце, де живе рекламне зростання. Агентства продовжують збільшувати свої зобов'язання там, як зазначає Нік Меннінг у роботі ANA/K2, а бренди продовжують втрачати видимість як у медіаланцюжку постачання, так і тепер, очевидно, у моделі безпеки акаунтів.

Наступні 90 днів для вразливих команд: більше фішингових спроб із посиланням на чат-бот, більше підробки брендів і більший тиск на соціальні та безпекові команди, які не мають спільних дерев ескалації.

Посібник для performance-маркетингу

Конкретні дії на цей тиждень, у порядку пріоритетності.

По-перше: проведіть аудит доступу адміністраторів та Business Manager для кожного активу Meta, яким ви володієте. Видаліть неактивних адміністраторів. Видаліть агентські місця для завершених проєктів. Кожен зайвий адміністратор — це зайва ціль для соціальної інженерії через чат-бот або те, що його замінить.

По-друге: увімкніть найсильнішу доступну двофакторну автентифікацію для кожного адміністраторського акаунта та вимагайте апаратних ключів для всіх, хто має права на виставлення рахунків або адміністрування. Вразливість чат-бота, схоже, виправлено, але патерн відмови — автоматизована система, яку можна переконати змінити стан, — повториться десь ще в стеку.

По-третє: побудуйте позасмуговий рівень виявлення для власних акаунтів. Опитуйте Marketing API на предмет змін у списку адміністраторів, нових прив'язаних email-адрес і наданих дозволів. Якщо ваша соціальна команда дізнається про злам із Reddit, ви вже втратили день. Опитування раз на 15 хвилин дозволить виявити проблему раніше за клієнтів.

По-четверте: розробіть план дій на випадок компрометації акаунта платного соціального маркетингу. Хто телефонує представнику агентства, хто призупиняє кампанії, хто подає апеляцію до Meta, хто готує публічну заяву. Команди, з якими я працював і які мали це на папері, відновлювалися за дні. Команди без такого плану втрачали тижні даних про ефективність кампаній і темп.

По-п'яте: якщо у вас є агентські відносини, зараз вимагайте прозорості щодо основних медіа та зобов'язань у закритих садах. Показник занепокоєності ANA у 43% майже не змінився за десятиліття. Сам по собі він не зміниться. Ставте питання в письмовій формі.

Ключові висновки

• Чат-бот Meta з підтримки на базі ШІ, розгорнутий на рекламній платформі в березні, був змушений за допомогою соціальної інженерії додати нові адміністраторські email-адреси до акаунтів Sephora, Obama та Космічних сил США до виправлення вразливості.
• Клас відмови є загальним: будь-яка LLM з правами комміту на стан ідентичності або виставлення рахунків є інцидентом безпеки, який чекає свого часу.
• 43% членів ANA досі називають прозорість агентств проблемою порівняно з 46% у 2016 році, тоді як WPP отримала 713 мільйонів доларів від основних медіа у 2024 році згідно з документами у справі Фостера.
• Performance-команди мають цього тижня провести аудит списків адміністраторів Meta, впровадити апаратну двофакторну автентифікацію та опитати Marketing API на предмет несанкціонованих змін дозволів.
• Виявлення не може залежати від Reddit. Якщо клієнти побачать злам раніше за вашу команду, план дій уже зазнав невдачі.