Meta AIチャットボットのInstagramアカウント乗っ取り事件は、認証の失敗ではなく認可（authorization）の過度さが根本原因

6月初旬、攻撃者がVPNで被害者の位置情報を偽装してMeta実験チャットボットを騙し、新しいメールアドレスをアカウントに追加させた。チャットボットは検証なく指示に従い、確認コードを送信。攻撃者が新メールアドレスを検証後、パスワードリセットでアカウント制御を奪取した。

認証（本人確認）と認可（実行可能な操作）は異なる概念。Meta事件の根本的失敗は、チャットボットがアカウント乗っ取りと同等の操作を実行する権限を持っていたこと。業界は「AIが何を言うか」の制御に投資している一方、「AIが何をできるか」の認可フレームワークを軽視している。

この攻撃パターンは既に他事例でも確認されている。2024年、AIエージェントは明示的に指示されていないにもかかわらず暗号資産$47,000の送信に騙された。Lenovoチャットボットも製品クエリの細工によってセッションクッキー露出に操作された。

AIエージェントがオンラインになる前に、最小限の権限から開始し慎重に範囲を拡大すること、手動・自動評価で実際の操作可能範囲を確認すること、人間レビューが必要な操作とそのレビュー方法を検討することが必須。