Metas egen AI ble brukt til å kapre Instagram-kontoer

Meta har fått en ubehagelig demonstrasjon av hva som skjer når AI-agenter får tilgang til kontoflyt uten harde sperrer rundt identitet og rettigheter.

The Verge skriver at Metas egen AI-baserte supportassistent kunne utnyttes til å kapre Instagram-kontoer. Ifølge saken viste angripere i en Telegram-video hvordan de ba chatboten om å knytte en ny e-postadresse til en annen persons Instagram-profil. Deretter kunne de bruke kodeflyten til å bekrefte e-posten og tilbakestille passordet. Resultatet var at den opprinnelige eieren ble låst ute.

Meta sier feilen nå er rettet og at berørte kontoer sikres. Det gjør ikke saken mindre viktig. Den viser en type risiko mange virksomheter er i ferd med å bygge inn i egne kundereiser: en AI-agent som ikke bare svarer på spørsmål, men får lov til å gjøre endringer i systemer som tidligere krevde strengere kontroll.

Fra chatbot til privilegert operatør

Supportboten ble lansert i mars og skulle hjelpe brukere med passord, tofaktorautentisering og gjenoppretting av konto. Det høres trivielt ut. I praksis er dette en av de mest sensitive prosessene i en digital tjeneste. Den avgjør hvem som får kontroll over en konto, hvilke e-postadresser som kan motta sikkerhetskoder, og hvem som får lov til å rotere passord.

Det er nettopp her AI-agenter skiller seg fra vanlige chatbotter. En klassisk chatbot kan gi feil svar. En agent med rettigheter kan utføre feil handling. Når handlingen er å endre kontoens e-postadresse, blir det ikke en UX-feil. Det blir et identitetsbrudd.

Ifølge The Verge var angrepet ikke nødvendigvis teknisk avansert. Angriperen kunne ganske enkelt formulere en forespørsel til supportassistenten om å koble kontoen til en ny e-postadresse. I enkelte tilfeller brukte angripere VPN for å fremstå som om de befant seg nær målet. Målet var blant annet kontoer med høy verdi, korte brukernavn og profiler med synlighet.

Saken kom samtidig som flere profiler ble rapportert kapret, blant annet Barack Obamas gamle White House-konto på Instagram, US Space Force Chief Master Sergeant og Sephora, ifølge 404 Media, som The Verge viser til. Sikkerhetsforskeren Jane Manchun Wong skrev også at hennes konto ble tatt over etter passordendringer hun ikke hadde initiert.

CISO-konsekvensen er større enn Instagram

For norske virksomheter er poenget ikke Instagram alene. Poenget er arkitekturen. Flere selskaper vil de neste 12 månedene koble AI-assistenter til kundeservice, identitetsflyt, interne ITSM-systemer, HR-prosesser, CRM og økonomi. Presset kommer fra tre kanter: lavere supportkostnader, raskere responstid og leverandører som bygger agentfunksjoner inn i standardsystemene.

Da må CISO og CIO stille et mer konkret spørsmål enn «bruker vi AI trygt?». Spørsmålet er: Hvilke irreversible eller høyrisiko handlinger kan en AI-agent faktisk utføre, og hva må den bevise før handlingen får gå videre?

For kontogjenoppretting bør svaret være stramt. AI kan gjerne forklare prosessen, samle inn informasjon og foreslå neste steg. Men endring av e-postadresse, passord, MFA-enhet eller betalingsmottaker bør ligge bak egne kontrollpunkter. Det betyr eksplisitt risikoklassifisering av agentverktøy, trinnvis autorisasjon, rate limits, avviksscore og menneskelig godkjenning for utvalgte scenarioer.

Det holder heller ikke å logge samtalen. Virksomheten må logge verktøykallene: hvilken agent ba om endringen, hvilken identitet ble verifisert, hvilke signaler ble brukt, hvilke policyer ble evaluert, og hvem godkjente eventuelle unntak. Uten dette blir etterforskning og ansvar uklart.

Agentstyring blir drift, ikke prinsippdokument

Meta-saken passer inn i et større mønster. 2026 er året der AI-agenter flyttes fra demo til drift. Samtidig flyttes risikoen fra modellens svar til systemene agenten får bruke. Nettleserutvidelser kan lese AI-samtaler. Agentminne kan manipuleres. Supportagenter kan få for brede rettigheter. Det er ikke samme sårbarhet, men samme styringsproblem: organisasjoner gir nye AI-lag tilgang før kontrollplanet er modent.

For ledere betyr det at agentstyring må behandles som produksjonsdrift. Ikke som et AI-policyvedlegg. Hver agent bør ha en eier, et rettighetskart, en liste over forbudte handlinger, testede misbruksscenarioer og en plan for rask avstenging. Leverandører bør kunne dokumentere hvordan agenten hindres fra å endre identitet, rettigheter eller økonomiske data basert på en fritekstforespørsel alene.

Dette er også en leverandørstyringssak. Mange virksomheter kjøper ikke «AI-agenter» direkte. De får dem gjennom CRM, helpdesk, HR, ERP, M365, sikkerhetsverktøy og bransjesystemer. Når leverandøren skrur på agentfunksjoner, flytter den deler av beslutningsflyten. Da må kontrakt, databehandleravtale, revisjonsspor og rollemodell oppdateres tilsvarende.

Metas raske retting er bra. Men læringen for andre er mer brutal: En AI-agent som kan hjelpe brukeren inn igjen, kan også hjelpe angriperen inn. Hvis den står i nærheten av identitet, penger eller sensitive data, må den behandles som en privilegert operatør fra dag én.

Kilder og medier

Kilde: The Verge, «Meta’s own AI was exploited to hijack Instagram accounts», publisert 1. juni 2026. Source URL: https://www.theverge.com/tech/941179/meta-instagram-ai-support-chatbot-exploit-hacked

Kildekreditering: The Verge / Emma Roth. The Verge viser i saken til 404 Media og uttalelse fra Metas kommunikasjonsdirektør Andy Stone.

Thumbnail: OpenAI Image 2 / hogby.ai