Дослідники Guardio Labs виявили нову техніку, за допомогою якої зловмисники використовують вбудований ШІ-асистент Grok у соцмережі X (колишній Twitter), щоб обходити обмеження на розміщення лінків і поширювати шкідливі сайти.

Замість прямого додавання посилань у відеорекламу з сумнівним контентом, рекламодавці приховують їх у полі «From» метаданих картки відео. Цей блок не перевіряється платформою на наявність небезпечних лінків. Далі вони через коментарі «запитують» у Grok, звідки походить ролик або який до нього лінк.

Grok автоматично читає метадані й у відповіді публікує повний клікабельний URL. Таким чином, шкідливий сайт не лише не блокується, а й отримує додаткову довіру — адже його поширює офіційний акаунт ШІ. Це підсилює SEO, охоплення та ймовірність переходу користувачів.
Зафіксовані випадки показали, що частина таких посилань веде через сірі рекламні мережі до шахрайських сторінок, фейкових CAPTCHA, інфостілерів та інших зловмисних завантажень. Дослідники назвали методику «Grokking» і підкреслили, що в окремих випадках вона давала мільйони показів.

X останнім часом стикається з хвилею критики щодо якості модерації рекламного контенту. Водночас інші великі платформи, як-от Meta чи YouTube, також постійно шукають баланс між швидкістю публікацій та безпекою користувачів. Loophole із Grok показує, наскільки вразливими можуть бути навіть «розумні» системи, якщо не контролювати всі технічні поля.
Викриття «Grokking» демонструє: навіть ШІ, створений для покращення користувацького досвіду, може стати інструментом у руках кіберзлочинців. Щоб знизити ризики, X має впровадити перевірку всіх метаданих і навчити Grok не відображати потенційно небезпечні посилання без додаткової перевірки.