LLM в поддержке: как AI-агенты обходят протоколы 2FA
На бумаге передача критических функций клиентской поддержки нейросетям выглядит как чистая победа в операционной эффективности. В марте Meta выкатила AI-помощника для Facebook и Instagram, пообещав автоматизировать сброс паролей. На практике же внедрение превратилось в классическую атаку типа «confused deputy» (растерянный заместитель): вспомогательная система с избыточными правами послушно выполняет деструктивные действия по первой просьбе анонима.
Анатомия архитектурной ошибки
Инцидент вскрыл фундаментальный разрыв между детерминированным кодом и вероятностной языковой моделью. Если SQL-инъекции научились блокировать через типизацию данных, то LLM в принципе не способна отделить инструкцию от данных. Злоумышленники действовали по примитивному алгоритму: имитировали геопозицию жертвы через VPN, инициировали сброс пароля и просто «просили» чат-бота обновить привязанный email. Ассистент не только сменил адрес, но и выслал восьмизначный код подтверждения напрямую атакующему, фактически обнулив протоколы двухфакторной аутентификации (2FA).
«Языковая модель не может надежно отличить безобидный запрос пользователя от вредоносной инструкции, так как и то, и другое для нее — просто текст».
Как отмечает The CyberSec Guru, налицо катастрофический провал в изоляции прав доступа. Агенту позволили выполнять действия, к которым у обычного пользователя нет прямого доступа. Вместо того чтобы отправить пуш-уведомление на доверенное устройство, система открыла прямой API-канал для необратимых изменений в обход стандартных барьеров.
Экономика серых рынков
Скорость исполнения атаки позволила хакерам мгновенно монетизировать взломы. Под удар попали тяжеловесы: аккаунт администрации Обамы, профиль главсержанта Космических сил США и сеть Sephora. Однако основной куш сорвали на OG-аккаунтах — редких коротких именах. Исследователи ZachXBT и Dark Web Informer подтверждают: такие дескрипторы перепродаются в Telegram за считаные минуты. Рыночная стоимость некоторых скомпрометированных никнеймов, по оценкам, превышала $1 млн.
Ситуация усугубилась использованием ИИ против ИИ. По данным отчетов, хакеры применяли генераторы видео для создания селфи-клипов на основе публичных фото жертв, легко обманывая автоматизированные системы верификации личности Meta. В итоге «AI-first» подход в клиентском сервисе стал кратчайшим путем к обходу многолетних инвестиций в кибербезопасность. Система превратилась в удобный инструмент для выдачи кодов подтверждения любому, кто умеет вежливо формулировать запросы.