Meta ยืนยันว่ามีการแฮ็กบัญชี Instagram หลายพันบัญชีผ่านการนำ AI แชตบอตไปใช้ในทางที่ผิด

ความเห็นจาก Hacker News

• ในหนังสือแจ้งเหตุละเมิดของ Meta ระบุว่า “ตัวเครื่องมือเองทำงานได้ตามปกติและตามที่ตั้งใจไว้ แต่เนื่องจากบั๊กในเส้นทางโค้ดอีกส่วนหนึ่ง จึงตรวจสอบได้ไม่ถูกต้องว่าอีเมลที่ผู้ขอรีเซ็ตรหัสผ่านให้มานั้นตรงกับอีเมลของบัญชี Instagram นั้นหรือไม่” ซึ่งดูเหมือนจะไม่ถูกนักที่จะเรียกสถานการณ์นี้ว่า ทำงานตามปกติ หรือ ทำงานตามที่ตั้งใจไว้

  • ในภาษาอิตาลีมีสำนวนว่า “การผ่าตัดสำเร็จอย่างสมบูรณ์แบบ แต่คนไข้เสียชีวิต”
  • ประโยคนี้อ่านได้ประมาณว่า “มันทำงานตามที่เขียนไว้ และเราไม่รับประกันหรือรับผิดต่อความเสียหายทางอ้อมหรือความเสียหายที่ตามมาใด ๆ จากซอฟต์แวร์นี้”
    ผมคิดมาตลอดว่า ถ้าจะให้หลายอย่างในสหรัฐฯ ดีขึ้น ก็ควรอัปเดต UCC[1] เพื่อไม่ให้ ปฏิเสธความรับผิดชอบต่อซอฟต์แวร์ที่ใช้ในผลิตภัณฑ์ ได้
    [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
  • เท่ากับว่าบอกว่าเครื่องมือทำงานได้อย่างถูกต้องตามที่ตั้งใจไว้ แต่เพราะมีบั๊ก มันจึงไม่ได้ทำงานอย่างถูกต้องและไม่ได้เป็นไปตามที่ตั้งใจไว้
  • ฟังดูคล้าย ข้อแก้ตัว ที่ Claude หรือ ChatGPT มักตอบเมื่อถูกทักว่าทำผิด หรือเมื่อถูกขอให้ตอบงานซัพพอร์ตลูกค้าเรื่องปัญหาซอฟต์แวร์
  • ตรรกะตรงนี้คือ AI เป็น หน้าอินพุต ที่ถูกห่อให้ดูน่าเชื่อถือ
    หน้าอินพุตที่รับชื่อผู้ใช้และอีเมลแล้วส่งต่อไปยังฟังก์ชันฝั่งแบ็กเอนด์นั้นทำงานตามที่ตั้งใจไว้ ส่วนปัญหาอยู่ที่ฟังก์ชันฝั่งแบ็กเอนด์ไม่ได้ตรวจสอบว่าอีเมลตรงกับชื่อผู้ใช้หรือไม่

• ที่บอกว่า “Meta แจ้งผู้ใช้อย่างน้อย 20,225 รายว่าบัญชีของพวกเขาถูกเจาะ… แฮ็กเกอร์สามารถยึดทั้ง Instagram ของเหยื่อและบัญชีที่เชื่อมโยงกันได้ พร้อมเข้าถึงข้อมูลติดต่อ วันเกิด ข้อมูลโปรไฟล์ ตลอดจนโพสต์ DM และกิจกรรมในบัญชี… การแฮ็กเริ่มขึ้นราววันที่ 17 เมษายนและต่อเนื่องมาจนถึงสัปดาห์นี้” นั้น ถือว่าเป็น ขนาดที่น่าตกใจ

  • ผมไม่ได้ชอบ Meta แต่คิดว่าคำว่า “น่าตกใจ” ควรตัดสินจาก สัดส่วนผู้ใช้ที่ได้รับผลกระทบ มากกว่าตัวเลขสัมบูรณ์
    สำหรับบริษัทขนาดเล็กที่มีลูกค้า 100,000 รายก็คงน่าตกใจ แต่สำหรับยักษ์ใหญ่อินเทอร์เน็ตที่มีผู้ใช้งานต่อเดือน 3 พันล้านคน มันอาจจะแย่แต่ยังไม่ถึงขั้น “น่าตกใจ”
  • ดูเหมือนว่าการหลบเลี่ยงการตรวจจับเป็นไปได้ เพราะ Meta อนุญาตอย่างชัดเจนให้บอตทราฟฟิกมาทำอะไรต่าง ๆ บนบริการของตัวเองได้อย่างไม่เกรงใจ
    อย่างน้อยก็อย่ามาพูดเหมือนมีคนแห่กันมาเป็นกองทัพเพื่อเจาะบัญชีทีละบัญชี
  • ได้แต่หวังว่า EU จะปรับ GDPR ให้ใกล้เคียงกับเพดาน 4% ของรายได้ทั่วโลกมากที่สุด
    แต่ก็สงสัยว่าเวลาที่ต้องปกป้องลูกค้าจริง ๆ EU จะทำได้ดีแค่ไหน

• บัญชีที่สร้างไว้สำหรับผลิตภัณฑ์ใหม่ถูกระบบอัตโนมัติปิดใช้งานถาวร และไม่มีทางอุทธรณ์กับคนจริงได้
  ถ้ามีคนจาก Meta/Instagram มาเห็น ผมเขียนรายละเอียดสั้น ๆ ไว้ในบล็อก หวังว่าจะช่วยได้
  https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

  • Meta กำหนดให้บัญชีหลักต้องสร้างในนาม บุคคล ไม่ใช่ผลิตภัณฑ์ ธุรกิจ หรือสิ่งที่ไม่ใช่มนุษย์
    ดังนั้นหลังจากขึ้นขั้นตอนยืนยันว่า “คุณเป็นมนุษย์หรือไม่” บัญชีหลักจึงถูกล็อกเพราะละเมิดมาตรฐานชุมชนที่ระบุว่าบัญชีหลักต้องเป็นของคน
    หน้าแนวปฏิบัติชุมชนในลิงก์ที่ส่งมานั้นแน่นมาก จึงเข้าใจได้ง่ายว่าถ้าไม่ได้โพสต์อะไรชัดเจนอย่างสื่อลามก ก็ไม่น่าจะละเมิดอะไร
    แต่ข้อที่ละเมิดคือส่วนที่บอกว่า “อย่าสร้างบัญชีที่เป็นตัวแทนของสิ่งที่ไม่ใช่มนุษย์ เช่น ธุรกิจ สัตว์เลี้ยง หรือตัวละครเสมือน”
    ต้องทำตามขั้นตอนตั้งค่าเพจธุรกิจจากบัญชีส่วนบุคคล
    ทุกวันนี้เวลาสร้างเพจธุรกิจบนทุกแพลตฟอร์มโซเชียลมีเดีย การอ่านขั้นตอนทางการเป็นเรื่องสำคัญ เพราะทุกเจ้าต่างถูกกดดันให้หยุดการบุกของเพจสแปมหรือเพจหลอกลวง
  • น่าเสียดาย แต่นี่เกิดขึ้นบ่อยมาก จนในวงการถือว่าแทบเป็น ผลลัพธ์ที่คาดเดาได้ เมื่อเริ่มสร้างเพจแบรนด์หรือเพจผลิตภัณฑ์
    ถ้ายังปลดไม่ได้ ผมแนะนำให้ติดต่อเอเจนซีแบรนด์/โฆษณา จ่ายสักราว 100 ดอลลาร์ แล้วให้พวกเขาขอให้ผู้ติดต่อฝั่ง Meta ช่วยปลดบล็อกให้
    ในทางปฏิบัติ การจะสร้างบัญชีแบบนี้ได้ คุณต้องรู้จักคนที่รู้จักคนใน Meta
    เคล็ดลับ: อย่าโพสต์ปัญหานี้บน Twitter หรือแพลตฟอร์มอื่น เพราะจะมีสแปมอัตโนมัติเข้ามาเยอะมาก
  • อีกวิธีคือใช้ anti-detect browser
    ของพวกนี้ถูกสร้างมาเพื่อใช้ทำอย่างเช่นสร้างบัญชีใหม่
  • ผมเคยพยายามสร้างบัญชีแยกต่างหากสำหรับกลุ่ม meetup และเจอปัญหาเดียวกัน ทำยังไงก็ไม่ผ่าน
  • เรื่องนี้แย่มากจริง ๆ
    ทุกครั้งที่พยายามสร้างบัญชีเพื่อใช้ทางธุรกิจ ภายในไม่กี่นาทีก็จะถูกขอเอกสารยืนยันตัวตน แล้วสุดท้ายก็มักโดนแบนอยู่ดี
    ทุกอย่างต้องทำผ่านบัญชีส่วนตัว

• เรื่องนี้เคยถูกโพสต์บน Hacker News เมื่อไม่กี่วันก่อนแล้ว (https://news.ycombinator.com/item?id=48359102)
  ตอนนั้นพูดถึง วิธีการแฮ็กจริง ๆ ไม่ใช่การยืนยันตัวตนที่หละหลวมของ Meta

• หวังว่าเรื่องนี้จะเร่งความเสื่อมของ Meta ให้เร็วขึ้นอีก
  โลกน่าจะปรับตัวได้ดี แม้ไม่มีโซเชียลมีเดีย

  • ในความเป็นจริง เรื่องนี้จะกระทบ Meta ยังไงกัน? บางคนอาจโกรธ แต่ที่เหลือก็จะไม่สนใจ และทุกอย่างก็จะกลับไปเหมือนเดิม
  • ผมยังไม่เข้าใจเลยว่าบริษัทนี้ยังทำ กำไรสุทธิได้เกิน 1 พันล้านดอลลาร์ต่อไตรมาส
  • แล้วทางเลือกคืออะไร? ในบรรดา 22,000 บัญชีนี้ น่าจะมีจำนวนมากที่เป็นบัญชีซึ่งมีผู้ชมขนาดใหญ่ที่เข้าถึงได้ก็เพราะอยู่บนแพลตฟอร์มขนาดใหญ่
    น่าเสียดายที่ Meta แทบเป็นแพลตฟอร์มเดียวที่ทำให้เข้าถึงผู้คนข้ามหลายกลุ่มประชากรได้ และคนสำคัญจริง ๆ คือผู้ที่ติดตาม 22,000 บัญชีนั้น
    พวกเขาไม่ได้รับผลกระทบโดยตรงจากเรื่องนี้ จึงจะไม่ออกจาก Meta และ 99% ก็คงไม่รู้ด้วยซ้ำว่าเรื่องนี้เกิดขึ้น หรือไม่ก็ไม่สนใจ

• เรียกระบบนี้ว่า "ระบบกู้คืนบัญชีที่มี AI ช่วยเหลือ" งั้นเหรอ Meta นี่ตกลงทำอะไรกันอยู่แน่

  • จะไปปฏิเสธรสชาติ Kool-Aid อันหอมหวานได้ยังไง
    ถึงอย่างนั้นมันก็เป็นสิ่งที่ไม่ควรทำจริง ๆ และก็สงสัยว่าเรื่องนี้จะส่งผลยังไงต่อ AI IPO รายใหญ่ทั้งหลาย
    Meta เองก็เป็นหนึ่งในผู้เล่นรายใหญ่ในวงการนี้ ถ้าพวกเขายังทำไม่ได้ดีพอ...
  • การกู้คืนบัญชีคือประเภทของทิกเก็ตที่มีมากที่สุดแบบทิ้งห่างในแทบทุกบริการ
    เพราะผู้คนลืมหรือทำข้อมูลรับรองหาย, ถูกแฮ็ก, หรือถูกแอบอ้าง และนี่นับเฉพาะคำขอที่ถูกต้องตามกฎหมายเท่านั้น
    จากนั้นก็ยังมีคำขอผิดกฎหมายเพิ่มเข้ามาอีก ตั้งแต่ script kiddie ที่มีอยู่ทุกวัน, พวกขู่กรรโชกที่หวังเงินค่าไถ่, คนที่พยายามขโมยแฮนเดิลที่ “มีมูลค่า”, ไปจนถึงรัฐที่ต้องการเข้าถึง DM ของคนที่ส่งข้อความไปยังบัญชีต่อต้านรัฐบาล
    เพราะงั้นมันเลยมีสามเรื่องตามมา: ถ้าให้คนมาดูทิกเก็ตพวกนี้ ต้นทุนจะสูงมาก, ไม่ว่าจะจัดการคำขอหรือไม่ก็อาจเกิดความเสียหายด้าน PR อย่างมหาศาล, และผู้ใช้/ลูกค้าก็มีตั้งแต่คนที่ฉลาดและรวยที่สุดในโลก ไปจนถึงนักท่องเที่ยวที่ตัดสินใจได้แย่กว่าหมีเสียอีก[1] หรือคนที่เขียนอะไรให้เข้าใจแทบไม่ได้
    แย่ไปกว่านั้นคือบริการออนไลน์จำนวนมากไม่มีวิธีผูกกับบัตรประชาชนหรือเอกสารระบุตัวตนที่รัฐออกให้เลย, อาจไม่มีตัวแทนอย่าง SIM มือถือด้วย, มีการทุจริตได้ในทุกระดับ, และโดยเฉพาะเป้าหมายที่ “น่าอร่อย” ถ้าแปลงเป็นมูลค่าเงินได้ก็อาจสูงถึงหลายล้านดอลลาร์
    แค่ Instagram อย่างเดียวก็มีผู้ใช้ทั่วโลกถึง 3 พันล้านคน ดังนั้นค่าใช้จ่ายด้านซัพพอร์ตผู้ใช้ย่อมมหาศาลอย่างหลีกเลี่ยงไม่ได้, ยังต้องรับมือกับภาษาที่ใช้งานอยู่ราว 7,000 ภาษา[2] ทั่วโลก, และแม้แต่คนที่มีอำนาจมากเท่าประธานาธิบดีสหรัฐหรือรวยเท่า Elon Musk ก็ยังเป็นเป้าหมายการโจมตี
    เห็นได้ชัดว่าการบริหารความเสี่ยงของแนวคิดทั้งหมดนี้ขาดหายไปอย่างน่ากลัว แต่ก็ไม่ควรทำเหมือนว่านี่เป็นปัญหาเล็กน้อยตั้งแต่แรก
    นั่นแหละจึงเป็นเหตุผลที่ต้องผลักดัน AI เพราะถ้าทำได้ถูกต้อง มันจะช่วยแบ่งเบางานของฝ่ายซัพพอร์ตด่านแรกได้มากในต้นทุนที่ต่ำกว่ามาก
    [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
    [2] https://www.sapiens.org/language/world-languages-counting-me...

• ควรแก้ชื่อเรื่องเป็น "Meta ยืนยันว่าบัญชี Instagram หลายพันบัญชีถูกแฮ็กเพราะ AI แชตบอตที่ไม่ปลอดภัย"

• ไม่เข้าใจเลยว่าตอนสร้างอะไรแบบนี้ ทำไมคำถามว่า "ผู้ใช้สามารถขอใช้อีเมลอื่นได้ไหม" ถึงไม่ใช่ การทดสอบข้อแรกสุด แบบตามตัวอักษร
  หรือว่าเพราะสเกลมันใหญ่เกินไป เลยไม่ทดสอบอะไรเลย?

  • แก่นแท้ของสิ่งประดิษฐ์นี้คือช่วยให้ผู้คนไม่ต้องแบกรับภาระในการใช้สมองคิด
    อาจมีข้อยกเว้นอยู่บ้าง แต่คนส่วนใหญ่ก็อยากใช้ AI ด้วยแนวคิดที่ว่าตัวเองขี้เกียจได้
  • ถ้าจะพูดปกป้องหน่อย ก็คงได้สั่ง LLM ไว้แล้วว่าอย่าทำพลาด
  • เพราะอุตสาหกรรมซอฟต์แวร์กำลังสับสนระหว่าง ความเรียบง่ายของประสบการณ์ผู้ใช้ กับ ความเรียบง่ายของประสบการณ์นักพัฒนา
    มีโอกาสสูงว่าระหว่างพัฒนานั้นไม่ได้คิดถึงทั้งประสบการณ์ผู้ใช้หรือแม้แต่ประสบการณ์ของเจ้าหน้าที่ซัพพอร์ตเลย
    มัวแต่มองประสบการณ์การพัฒนาของตัวเอง แล้วให้ LLM สร้างแชตบอตขึ้นมา ซึ่งมันก็ทำงานได้ และความเร็วนั้นก็คงถูกทำเป็นเอกสารรายงานขึ้นไปข้างบนเพื่อดึงการลงทุนจากผู้ถือหุ้น
    ถ้ามีการคิดให้รอบคอบล่วงหน้า มันก็คงขัดกับเรื่องเล่าว่า AI จะมาเป็นวิศวกรหรือเพิ่มผลิตภาพได้ 100 เท่า

• แค่ดู “Q&A แชตบอต” ที่ห่วยจนเหลือเชื่อใต้โพสต์บางโพสต์บน Facebook กับระบบที่แทบแยกไม่ออกว่าคอมเมนต์ไหนไม่เหมาะสมหรือไม่ ก็พอจะเห็นได้ว่า Meta ล้าหลังในด้าน AI แค่ไหน