Un semplice messaggio di testo è bastato per mettere in crisi la sicurezza di Meta. Un attacco di prompt injection ha infatti permesso di ingannare l’assistente AI di supporto usato su Instagram, spingendolo a inviare un link di reset password all’indirizzo controllato dall’attaccante. Il risultato? Account compromessi, in alcuni casi anche con l’autenticazione a due fattori attiva.
La vicenda mostra quanto possa essere rischioso affidare a un sistema automatizzato compiti delicati come la gestione dell’accesso agli account. Quando un’AI ha il permesso di agire per conto dell’utente, basta una richiesta formulata nel modo giusto per trasformare un assistente in un punto debole della sicurezza.
Meta AI di supporto e il prompt injection che ha compromesso gli account
Secondo quanto emerso, l’exploit funzionava in modo sorprendentemente semplice. L’attaccante utilizzava un VPN coerente con la posizione geografica dell’account bersaglio e inviava poi un messaggio all’assistente AI di supporto Meta, fingendosi il legittimo proprietario. Nel testo chiedeva di collegare una nuova email e inseriva un codice o un riferimento apparentemente credibile. L’AI, progettata per operare nell’interesse dell’utente, eseguiva la richiesta e inviava il link di reset password all’indirizzo dell’aggressore.
Non servivano competenze tecniche avanzate né la scoperta di una vulnerabilità nel codice. Bastava convincere il chatbot con una frase ben costruita. È proprio questo il punto critico: il sistema non sembrava in grado di distinguere con sufficiente affidabilità tra una richiesta legittima e un tentativo di abuso.
Tra gli account finiti nel mirino ci sarebbe anche quello della Casa Bianca dell’era Obama, rimasto inattivo per anni e poi utilizzato per pubblicare un contenuto provocatorio. Un dettaglio che rende ancora più evidente la portata del problema: se un account così delicato può essere sfruttato tramite una falla di questo tipo, il rischio per gli utenti comuni è tutt’altro che teorico.
Perché un’AI che agisce per conto dell’utente può diventare pericolosa
Meta descrive il proprio assistente AI di supporto come uno strumento centralizzato, personalizzato e disponibile 24 ore su 24, capace di agire direttamente nell’app per semplificare l’assistenza. Ed è proprio questa capacità operativa ad aver aperto la strada all’abuso. Un sistema che può modificare impostazioni e gestire richieste sensibili diventa infatti un obiettivo appetibile per chi prova a manipolarlo con tecniche di ingegneria sociale.
Il problema non è solo tecnologico, ma anche concettuale: un’AI non ha la stessa capacità di giudizio di un operatore umano e, se non dispone di controlli adeguati, può finire per eseguire azioni irreversibili su richiesta di chiunque sappia scrivere il prompt giusto. In questo caso, la promessa di automatizzare il supporto si è trasformata in un rischio per la sicurezza degli account.
Il rischio resta anche dopo la correzione dell’exploit
Meta ha corretto la vulnerabilità, ma l’episodio lascia aperta una domanda importante: quanti altri scenari simili potrebbero emergere quando un sistema di Meta AI viene autorizzato a intervenire su operazioni delicate? L’azienda spinge sempre di più l’intelligenza artificiale in Facebook, Instagram e WhatsApp, sostituendo funzioni tradizionali con prompt e assistenti automatizzati. Allo stesso tempo, il personale umano viene ridotto e molte verifiche vengono demandate ai sistemi AI.
Il caso dimostra che l’automazione, da sola, non basta a garantire efficienza e sicurezza. Se un assistente può essere ingannato con una sola riga di testo, allora servono barriere molto più robuste prima di affidargli il controllo di account e credenziali. La lezione è chiara: quando l’AI agisce per conto dell’utente, la fiducia va costruita con verifiche multiple, non con la sola buona fede di un chatbot.
