Ataques de prompt injection permitem sequestro de contas do Instagram via IA da Meta
Aprofundamento CEVIU
Aprofundamento
Esse não é um caso de falha no código do Instagram, mas sim na forma como a Meta projetou o assistente de IA para executar ações críticas, como vincular e-mails e disparar links de redefinição, com base em instruções não validadas. A vulnerabilidade foi ativada por uma combinação de três fatores: (1) a expansão da funcionalidade de suporte automatizado para todas as contas em março de 2026; (2) a ausência de verificação contextual robusta, geolocalização falsificada via VPN bastava para passar nos filtros iniciais; e (3) a capacidade do bot de aceitar comandos diretos sem confirmação humana ou MFA obrigatória. Em alguns casos, vídeos de selfie gerados por IA, feitos a partir de fotos públicas do perfil alvo, enganaram sistemas de verificação facial integrados ao fluxo.
O ataque se enquadra na classe LLM01:2025 da OWASP, a mais crítica para aplicações de IA, e tem taxa de sucesso entre 50% e 84%, segundo dados de 2025. Diferentemente de uma falha de autenticação tradicional, aqui o próprio sistema de defesa virou vetor de ataque: o assistente não foi hackeado, mas manipulado. Isso torna a correção técnica mais difícil: não basta corrigir um endpoint, mas redesenhar políticas de execução, separação de contexto e limites de ação para IAs que operam em ambientes produtivos.
O que mudou
A cobertura CEVIU de 1º e 2º de junho já relatava os sequestros via falsificação de localização e solicitação de códigos de verificação, mas não identificava o mecanismo exato como prompt injection. Agora sabemos que o ataque não dependia apenas de engenharia social contra o usuário, mas de exploração direta da interface de linguagem natural do assistente, com comandos estruturados para forçar ações fora do escopo esperado. Também há novos detalhes operacionais: uso de vídeos de selfie sintéticos, revenda de 'OG handles' no Telegram por até US$ 1 milhão e continuidade dos ataques mesmo após a correção anunciada pela Meta. A empresa ainda não divulgou quantas contas foram afetadas, mas relatos indicam mais de 100 comprometidas, incluindo perfis institucionais de alto risco.
Por que isso importa
Essa falha mostra que a automação de suporte não é só um problema de UX: é uma nova superfície de ataque para gestão de identidade. Quando IAs têm permissão para alterar e-mails, redefinir senhas ou desativar 2FA, mesmo com restrições, elas se tornam alvos prioritários. O caso do Instagram é um alerta para bancos, operadoras e órgãos públicos que já adotam chatbots com acesso a funções sensíveis. A proteção eficaz exigiu, neste cenário, MFA habilitado, não como camada opcional, mas como requisito absoluto para qualquer ação de recuperação. Sem isso, a geolocalização falsa + prompt bem formulada = conta perdida em menos de 90 segundos.
Linha do tempo
Meta expande funcionalidades de suporte automatizado para todas as contas do Facebook e Instagram, incluindo ações de recuperação de conta via IA
Discussões sobre a vulnerabilidade começam em grupos do Telegram; primeiros relatos de sequestros com uso de VPN e comandos ao assistente
Ataques em larga escala são confirmados, com contas de alto perfil comprometidas; Meta anuncia correção emergencial
Perguntas frequentes
O que é prompt injection nesse contexto?
É uma técnica que força um modelo de linguagem a ignorar suas instruções internas e executar comandos maliciosos inseridos pelo atacante. No caso do Instagram, o comando era algo como 'vincule este e-mail à conta X e envie o link de redefinição', mascarado como uma solicitação legítima de recuperação.
Por que a VPN foi essencial para o ataque?
A IA do Instagram usava a localização como sinal de legitimidade. Ao se conectar via VPN em uma cidade próxima à vítima, o atacante fazia o sistema acreditar que era o dono real da conta tentando recuperá-la, um critério de confiança fraco demais para uma ação tão crítica.
A Meta corrigiu o problema? Funcionou?
Sim, uma correção emergencial foi aplicada no fim de semana de 1, 2 de junho. Mas relatos confirmam que ataques continuaram ocorrendo após o anúncio, sugerindo que a correção foi parcial ou que variantes do ataque contornaram os novos controles. A empresa não detalhou quais medidas exatas foram implementadas.
O que impede esse tipo de ataque em outras plataformas?
Três coisas: (1) exigir MFA para qualquer ação de recuperação de conta, (2) separar estritamente instruções do sistema de entradas do usuário, sem misturar ambos no mesmo campo de texto, e (3) nunca permitir que um assistente de IA execute ações críticas sem uma etapa de confirmação fora do canal de conversa, como SMS ou app autenticador.
Fontes
- neowin.netfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
