Une startup financée par a16z faisait la promotion de produits via des comptes TikTok d’IA, comme l’a révélé un piratage

• Un « phone farm » de 1 100 smartphones a été piraté, révélant l’activité de comptes publicitaires générés par IA opérant sur TikTok
• Ce système était exploité par Doublespeed, une startup financée par a16z, qui gérait plusieurs centaines de comptes de réseaux sociaux basés sur l’IA pour promouvoir des produits
• Le hacker a obtenu des accès lui permettant de consulter l’attribution des comptes, les informations de proxy et l’historique des tâches
• Des images et vidéos de personnes créées par IA ont été utilisées pour promouvoir des compléments alimentaires, des applications, des appareils de massage et divers autres produits, et de nombreux indices montrent une promotion sans signalement publicitaire
• Le hacker affirme avoir signalé la faille à l’entreprise le 31 octobre, tout en déclarant qu’il a toujours accès au backend et au phone farm

Aperçu du piratage de Doublespeed

• Un hacker a pris le contrôle d’un phone farm composé de 1 100 téléphones mobiles, exposant l’activité de comptes publicitaires générés par IA opérant sur TikTok
  • Ce phone farm était géré par Doublespeed, qui assurait la promotion de produits via plusieurs centaines de comptes de réseaux sociaux générés par IA
• Le piratage a révélé l’existence de nombreux contenus promotionnels non signalés comme publicités
  • Ces comptes faisaient la promotion de produits sous la forme d’influenceurs IA
• Le hacker a accédé au backend de l’entreprise et a pu voir quel gestionnaire PC contrôlait quels téléphones et quels comptes TikTok
  • Les serveurs proxy, les mots de passe et même les files de tâches par compte étaient tous exposés
  • Le hacker a déclaré pouvoir manipuler librement environ 1 100 smartphones, avec un potentiel d’abus pour la puissance de calcul ou le spam

Comment la promotion par influenceurs IA fonctionnait sur TikTok

• Parmi plus de 400 comptes TikTok exploités par Doublespeed, environ 200 étaient effectivement utilisés pour promouvoir des produits
• De nombreux posts ont été publiés sans indication qu’il s’agissait de publicités
• Certains comptes semblent être passés par une phase de « warming up » visant à accumuler une activité préalable pour paraître authentiques
• Le système imitait les schémas d’usage de vrais smartphones afin d’échapper à la détection des comportements inauthentiques par TikTok

Exemples concrets de promotion

• Un personnage de femme d’âge mûr généré par IA évoquait des douleurs physiques tout en mettant en avant de façon répétée le masseur Vibit
• Un personnage IA présenté comme étudiant à l’UCLA critiquait l’industrie pharmaceutique tout en faisant la promotion du complément de moringa Rosabella
  • Le texte sur l’étiquette du flacon était généré sous une forme dénuée de sens, révélant qu’il s’agissait d’une image IA
• Certains comptes utilisaient même des vidéos générées par IA pour promouvoir des agences de contenu TikTok comme Playkit

Accès du hacker et réponse de l’entreprise

• Le hacker, qui a demandé à rester anonyme par crainte de représailles, affirme avoir signalé la faille à Doublespeed le 31 octobre
• Au moment de la rédaction de l’article, il indiquait avoir toujours accès au backend de l’entreprise et au système de phone farm
• Doublespeed n’a pas répondu aux demandes de commentaire de la presse

Réactions de la plateforme et des investisseurs

• Doublespeed est une startup financée par Andreessen Horowitz (a16z)
• TikTok précise l’obligation d’apposer un label sur les contenus générés par IA, et a ajouté ce label aux comptes concernés après le signalement
• a16z et Doublespeed n’ont pas pris de position officielle sur l’affaire
• Un porte-parole de Reddit a déclaré que le service de Doublespeed enfreignait ses conditions d’utilisation
• Meta n’a pas répondu officiellement, mais ce modèle d’activité enfreint sa politique sur la représentation d’identité authentique