كيف تعمل أدوات Grey-Hat لفيسبوك فعلياً: التوكنات والكوكيز وRPA

أدوات grey-hat لفيسبوك ليست سحراً. إنها تستغل ثلاث آليات تقنية محددة للتحكم في حسابات إعلانات فيسبوك خارج إطار التفويض الرسمي لـ Meta. فهم كيف تعمل أدوات grey-hat لفيسبوك على المستوى التقني أمر ضروري لكل مشتري وسائط — سواء كنت تستخدمها أو تنافس من يستخدمونها أو تحتاج لتقييم التداعيات الأمنية على حساباتك الخاصة.

هذا غوص تقني عميق. سنغطي الآليات الدقيقة وتدفقات البيانات وموجهات الاكتشاف لكل طريقة. بلا تعليق أخلاقي — الواقع الهندسي فحسب.

الركائز الثلاث للوصول Grey-Hat

كل أداة grey-hat للإعلان على فيسبوك تعتمد على واحدة أو أكثر من طرق الوصول الثلاث هذه:

1. استخراج التوكنات وإساءة استخدامها — استخدام توكنات EAAB لاستدعاء Marketing API لفيسبوك بدون تفويض OAuth رسمي
2. حقن الكوكيز — استيراد كوكيز الجلسة لاختطاف جلسات متصفح مصادق عليها
3. RPA (أتمتة العمليات الروبوتية) — التحكم في واجهة ويب فيسبوك من خلال إجراءات متصفح مؤتمتة

بعض الأدوات تستخدم طريقة واحدة. الأكثر تطوراً تجمع بين الثلاث. دعونا نفحص كلاً منها بالتفصيل.

الركيزة 1: توكنات EAAB

ما هي توكنات EAAB

عندما تسجل الدخول إلى فيسبوك وتصل إلى مدير الإعلانات، تولد جلسة متصفحك توكنات وصول تفوّض طلبات API. الأكثر قيمة هو توكن EAAB (الوصول الممتد) — توكن طويل الأمد يبدأ بالسلسلة النصية الحرفية "EAAB" متبوعةً بحمولة مشفرة بـ base64.

يشفّر توكن EAAB:

• معرف المستخدم لمستخدم فيسبوك المصادق عليه
• معرف التطبيق للتطبيق الذي ولّد التوكن (عادةً تطبيق مدير الإعلانات الخاص بفيسبوك)
• نطاقات الأذونات — ما هو مصرح به للتوكن (ads_management، ads_read، business_management، إلخ)
• طابع زمني للانتهاء — عادةً 60-90 يوماً للتوكنات طويلة الأمد
• توقيع تشفيري تتحقق منه Meta عند كل استدعاء API

بتوكن EAAB صالح، يمكنك إجراء نفس استدعاءات API التي يجريها مدير إعلانات فيسبوك. إنشاء حملات وتعديل ميزانيات وتحميل إبداعات وسحب إحصاءات وإدارة طرق الدفع — كل شيء.

كيف تُستخرج التوكنات

الطريقة الأولى: الاستخراج عبر إضافة Chrome

أكثر طرق الاستخراج شيوعاً تستخدم إضافات Chrome التي تعترض طلبات الشبكة داخل المتصفح. عند فتح مدير الإعلانات، يرسل متصفحك استدعاءات API إلى graph.facebook.com مع توكن EAAB في رأس Authorization أو كمعامل في URL.

إضافة Chrome التي تملك أذونات webRequest يمكنها اعتراض هذه الطلبات واستخراج التوكن. التدفق:

المستخدم يفتح مدير الإعلانات ← المتصفح يجري استدعاء API ← الإضافة تعترض الطلب ←
التوكن يُستخرج من الرأس/URL ← يُحفظ محلياً أو يُرسل لخادم خارجي

إضافات مثل "Facebook Token Extractor" (بأسماء متعددة، تُزال بشكل متكرر من متجر Chrome) تؤتمت هذه العملية. بعض أدوات grey-hat تتضمن إضافاتها الخاصة ذات العلامة التجارية.

الطريقة الثانية: تحويل الكوكيز إلى توكن

يمكن استخدام كوكيز جلسة فيسبوك لتوليد التوكنات برمجياً. العملية:

1. استخراج كوكيز c_user وxs من جلسة مصادق عليها
2. إرسال طلب إلى نقطة نهاية OAuth لفيسبوك باستخدام هذه الكوكيز كمصادقة
3. طلب توليد توكن لمعرف تطبيق مدير الإعلانات
4. استلام توكن EAAB جديد

هذه الطريقة هي كيفية تحويل الأدوات التي تعمل بواردات الكوكيز (انظر الركيزة الثانية) الوصول عبر الجلسة إلى وصول عبر API.

الطريقة الثالثة: إساءة استخدام OAuth

بعض الأدوات تسجل نفسها كتطبيقات مطورين شرعية على فيسبوك، ثم تسيء استخدام تدفق OAuth لطلب أذونات مفرطة. يفوّض المستخدم التطبيق ظناً منه أنه أداة مشروعة، فيخزّن التطبيق التوكن ويستخدمه لأغراض غير مصرح بها.

أصبح هذا الأسلوب أقل جدوى مع تشديد Meta لعمليات مراجعة التطبيقات، لكن التطبيقات القديمة ذات الأذونات الواسعة لا تزال موجودة.

كيف تستخدم الأدوات التوكنات

بعد الاستخراج، يُستخدم التوكن لإجراء استدعاءات API مباشرة إلى Marketing API لفيسبوك:

إنشاء حملة:

POST /act_{ad_account_id}/campaigns
Authorization: Bearer EAAB...
Content-Type: application/json

{
  "name": "اسم الحملة",
  "objective": "OUTCOME_SALES",
  "status": "ACTIVE",
  "special_ad_categories": []
}

إنشاء مجموعة إعلانات:

POST /act_{ad_account_id}/adsets
Authorization: Bearer EAAB...

{
  "campaign_id": "123456",
  "name": "اسم مجموعة الإعلانات",
  "targeting": { ... },
  "billing_event": "IMPRESSIONS",
  "bid_amount": 1000,
  "daily_budget": 5000
}

تحميل إبداع:

POST /act_{ad_account_id}/adcreatives
Authorization: Bearer EAAB...

{
  "name": "اسم الإبداع",
  "object_story_spec": { ... }
}

استدعاءات API مطابقة تماماً لتلك التي تجريها الأدوات المشروعة. الفرق يكمن في مسار التفويض — الأدوات المشروعة حصلت على التوكن عبر تدفق OAuth الرسمي لفيسبوك بموافقة المستخدم ومراجعة التطبيق. أدوات grey-hat استخرجته من جلسة متصفح.

عمر التوكن والتدوير

توكنات EAAB لها انتهاء صلاحية مدمج، عادةً 60-90 يوماً. غير أن عدة عوامل يمكن أن تبطل التوكن في وقت أبكر:

• تغيير كلمة المرور — جميع توكنات الحساب تُبطل فوراً
• نقطة تفتيش أمنية — أنظمة أمان فيسبوك يمكنها إبطال التوكنات عند اكتشاف نشاط مشبوه
• إنهاء الجلسة — تسجيل خروج المستخدم من جميع الجلسات يبطل التوكنات المرتبطة
• إلغاء تفويض التطبيق — إزالة أذونات التطبيق يبطل التوكنات الصادرة لذلك التطبيق

تتعامل أدوات grey-hat مع انتهاء صلاحية التوكنات من خلال:

• إعادة استخراج تلقائية — إضافات Chrome تعمل في الخلفية وتستخرج باستمرار توكنات جديدة
• نقاط نهاية تجديد التوكنات — بعض الأدوات تستخدم نقاط نهاية فيسبوك غير موثقة لتمديد عمر التوكن
• احتياطي الكوكيز — عند انتهاء صلاحية توكن، تتراجع الأداة إلى الوصول عبر الجلسة بالكوكيز لتوليد توكن جديد

إشارات اكتشاف إساءة استخدام التوكنات

تكتشف Meta الاستخدام غير المصرح به للتوكنات من خلال إشارات متعددة:

1. عدم تطابق معرف التطبيق — التوكنات التي تولدها تطبيقات فيسبوك الخاصة (مدير الإعلانات، Business Suite) تحمل معرفات تطبيقات محددة. Meta يمكنها اكتشاف متى تُستخدم هذه التوكنات من مصادر غير متوقعة
2. تحليل أنماط الطلبات — مستخدمو مدير الإعلانات البشريون ينشئون حملة واحدة في كل مرة مع توقفات. الأدوات تنشئ العشرات في تتالٍ سريع
3. ارتباط IP — التوكن وُلّد من IP واحد (متصفح المستخدم) لكن استدعاءات API تأتي من IP آخر (خادم الأداة)
4. غياب سياق المتصفح — استدعاءات API لمدير الإعلانات المشروعة تتضمن رؤوس المتصفح وأنماط التوقيت وروابط WebSocket المصاحبة. الاستدعاءات المباشرة من الأدوات تفتقر إلى هذا السياق
5. شذوذات الحجم — إنشاء 50 حملة عبر 50 حساباً في 5 دقائق من توقيع تطبيق واحد

الركيزة 2: حقن الكوكيز

الكوكيز ذات الصلة

عند تسجيل الدخول إلى فيسبوك، يتلقى متصفحك عدة كوكيز مصادقة. الاثنان الحرجان:

c_user — يحتوي على معرف مستخدم فيسبوك الرقمي. يُخبر فيسبوك أي حساب تنتمي إليه الجلسة.

xs — توكن الجلسة. هذا هو اعتماد المصادقة الفعلي. سلسلة مشفرة معقدة تتضمن بيانات وصفية للجلسة وتوقيعاً تشفيرياً.

معاً، هذان الكوكيان يشكّلان جلسة فيسبوك كاملة. أي متصفح يقدم هذين الكوكيين لـ facebook.com سيُعترف به كمستخدم مسجل الدخول — بدون كلمة مرور.

كوكيز إضافية ذات صلة:

• fr — كوكي التتبع عبر المواقع لفيسبوك
• datr — كوكي تعريف المتصفح (يستمر عبر الجلسات)
• sb — تعريف المتصفح، مشابه لـ datr
• presence — مؤشر حضور الدردشة/المراسلة

كيف يعمل حقن الكوكيز

عملية الحقن:

1. التصدير: تُستخرج الكوكيز من جلسة المتصفح المصدر. يمكن تنفيذ ذلك عبر أدوات المطور في المتصفح أو الإضافات أو الوصول البرمجي لمخزن الكوكيز. الناتج يكون عادةً بصيغة Netscape للكوكيز أو JSON:

{
  "name": "c_user",
  "value": "100012345678",
  "domain": ".facebook.com",
  "path": "/",
  "httpOnly": true,
  "secure": true,
  "sameSite": "None",
  "expirationDate": 1742515200
}

2. النقل: بيانات الكوكيز تُنقل إلى البيئة المستهدفة — ملف تعريف متصفح مضاد للاكتشاف أو قاعدة بيانات الأداة أو مستودع الفريق المشترك.

3. الاستيراد: المتصفح المستقبل يحمّل الكوكيز في مخزن الكوكيز الخاص به لنطاق facebook.com. يُنجز هذا عادةً قبل الانتقال إلى فيسبوك، بحيث يكون تحميل الصفحة الأول مصادقاً عليه بالفعل.

4. التحقق من الجلسة: ينتقل المتصفح إلى facebook.com. تتحقق خوادم فيسبوك من الكوكيز وتقدم تجربة المستخدم المصادق عليه.

لماذا حقن الكوكيز شائع

إدارة الحسابات بدون كلمات مرور: مشترو الوسائط الذين يشترون حسابات من الأسواق يتلقون كوكيز وليس كلمات مرور. كلمة المرور الأصلية قد تكون مجهولة أو تغيّرت. حقن الكوكيز هو الطريقة الوحيدة للوصول إلى هذه الحسابات.

عمليات متعددة الحسابات: إدارة 50+ حساباً على فيسبوك تتطلب 50+ تركيبة بريد إلكتروني/كلمة مرور. الكوكيز أكثر قابلية للنقل — الصق سلسلة كوكيز والملف الشخصي جاهز.

تجنب محفزات تسجيل الدخول: كل تسجيل دخول لفيسبوك من جهاز/موقع جديد يطلق فحوصات أمنية — رموز التحقق ومتطلبات CAPTCHA والتحقق من الهوية. حقن الكوكيز يتخطى عملية تسجيل الدخول بالكامل متجنباً هذه المحفزات.

استمرارية الجلسة: الكوكيز تحافظ على الجلسات عبر إعادة تشغيل المتصفح. ملف متصفح مضاد للاكتشاف مُهيأ بشكل صحيح مع كوكيز محقونة يمكنه الحفاظ على جلسة فيسبوك لأسابيع دون إعادة مصادقة.

صيغ الكوكيز والأدوات

تقبل أدوات grey-hat الكوكيز بعدة صيغ:

• صيغة Netscape: أقدم صيغة لتصدير الكوكيز. نص عادي، كوكي واحد في كل سطر. توافق عالمي.
• صيغة JSON: مهيكلة، تستخدمها معظم الأدوات الحديثة. كل كوكي كائن JSON بجميع خصائصه.
• سلسلة مشفرة بـ Base64: بعض الأسواق تبيع الكوكيز كسلسلة مشفرة واحدة تفكها الأدوات تلقائياً.
• تصدير ملف تعريف المتصفح: المتصفحات المضادة للاكتشاف يمكنها تصدير ملفات تعريف كاملة تشمل الكوكيز وlocalStorage وIndexedDB.

أدوات لإدارة الكوكيز:

• EditThisCookie (إضافة Chrome) — تصدير/استيراد يدوي للكوكيز
• Cookie-Editor — وظيفة مماثلة، أكثر صيانةً
• مستوردات المتصفحات المضادة للاكتشاف — AdsPower وGoLogin وMultilogin جميعها تحتوي على نوافذ حوار مدمجة لاستيراد الكوكيز
• سكربتات مخصصة — واجهة page.setCookie()‎ في Puppeteer تتيح حقن الكوكيز برمجياً

أمان الكوكيز والمخاطر

حقن الكوكيز ينطوي على مخاطر أمنية جسيمة:

سرقة الكوكيز: إذا حصل شخص ما على كوكيز فيسبوك الخاصة بك، فهو يملك وصولاً كاملاً إلى حسابك. الكوكيز المباعة في الأسواق قد تكون مسروقة عبر برامج ضارة أو تصيد احتيالي أو اختراقات بيانات — وليست مصدّرة طوعياً من أصحاب الحسابات.

اختطاف الجلسة: فيسبوك لا يستطيع التمييز بين المستخدم الأصلي ومن حقن كوكيزه. لا يوجد نقطة تحقق للمصادقة الثنائية للوصول القائم على الكوكيز.

الاختراق المتسلسل: إذا اخترق شخص ما قاعدة بيانات أداة ما، فإن كل كوكي مخزنة تصبح في متناول المهاجمين. كشف اختراق AdsPower في ديسمبر 2024 هذه الخطورة — إذ وصل امتداد Chrome المخترق إلى بيانات جلسة المستخدمين عبر منصات متعددة.

الانتهاء والإبطال: الكوكيز تنتهي صلاحيتها. فيسبوك يدوّر توكنات الجلسة بصفة دورية. كوكي يعمل اليوم قد لا يعمل غداً، مما يخلق حاجة مستمرة لكوكيز جديدة — وسوقاً مستمراً لموردي الكوكيز.

الركيزة 3: RPA (أتمتة العمليات الروبوتية)

ما يعنيه RPA في هذا السياق

RPA في إعلانات فيسبوك يعني برمجيات تتحكم في واجهة ويب فيسبوك بمحاكاة الإجراءات البشرية. بدلاً من استدعاء APIs بالتوكنات، تفتح أدوات RPA متصفحاً وتنتقل إلى مدير الإعلانات وتنقر على الأزرار وتملأ النماذج وترسل الحملات — تماماً كما يفعل الإنسان، لكن بسرعة أعلى.

المكدس التقني

أطر عمل أتمتة المتصفح:

• Puppeteer — مكتبة Node.js للتحكم بـ Chromium. الإطار الأكثر شيوعاً لأتمتة فيسبوك
• Playwright — مكتبة أتمتة متعددة المتصفحات من Microsoft. تدعم Chromium وFirefox وWebKit
• Selenium — إطار عمل أقدم، لا يزال مستخدماً في بعض الأدوات. أبطأ لكنه ناضج

التكامل مع المتصفحات المضادة للاكتشاف:

المتصفحات المضادة للاكتشاف تكشف عن واجهات أتمتة يمكن لـ Puppeteer/Playwright الاتصال بها. التدفق:

متصفح مضاد للاكتشاف (بصمة فريدة) ← Puppeteer يتصل عبر CDP ←
السكربت يتنقل في واجهة فيسبوك ← الإجراءات تُنفذ كمستخدم بشري

AdsPower مثلاً يكشف عن نقطة نهاية Chrome DevTools Protocol (CDP) لكل ملف تعريف. سكربت Puppeteer يتصل بهذه النقطة ويحظى بسيطرة كاملة على جلسة المتصفح — مع الحفاظ على بصمة المتصفح المضاد للاكتشاف.

كيف يعمل الإطلاق التلقائي عبر RPA

سير عمل "الإطلاق التلقائي" (автозалив) عبر RPA:

1. اختيار الملف الشخصي: السكربت يختار ملف متصفح مضاد للاكتشاف مع جلسة فيسبوك نشطة
2. التنقل: المتصفح يفتح facebook.com/adsmanager/creation
3. إعداد الحملة: السكربت يملأ الهدف والميزانية والجدول الزمني
4. تكوين مجموعة الإعلانات: الاستهداف والمواضع وهدف التحسين
5. تحميل الإبداع: رفع الصورة/الفيديو ونص الإعلان والرابط وCTA
6. المراجعة والنشر: إرسال الحملة للمراجعة
7. التكرار: إعادة العملية للحساب/الملف التالي

كل خطوة تتضمن:

• اكتشاف العناصر: العثور على الزر أو حقل الإدخال أو القائمة المنسدلة الصحيحة بواسطة محدد CSS أو XPath أو تسمية ARIA
• التفاعل الشبيه بالبشر: إضافة تأخيرات عشوائية بين الإجراءات (200-2000 ملليثانية) وتحريك الفأرة بشكل طبيعي والتمرير إلى العناصر قبل النقر عليها
• معالجة الأخطاء: اكتشاف النوافذ المنبثقة ومتطلبات CAPTCHA وقيود الحساب والتعامل مع كل حالة
• التحقق: تأكيد اكتمال كل خطوة بنجاح قبل المتابعة

مزايا RPA على الوصول بالتوكنات

مخاطر اكتشاف أقل: RPA يولد أحداث متصفح حقيقية — حركات الفأرة ومدخلات لوحة المفاتيح وأحداث التمرير وتغييرات التركيز. أنظمة اكتشاف Meta ترى جلسة متصفح تبدو بشرية.

لا اعتماد على التوكنات: RPA لا يحتاج إلى توكن EAAB. يعمل مع أي جلسة متصفح مصادق عليها (بما فيها الجلسات القائمة على الكوكيز).

مرونة مع تغييرات الواجهة: أدوات RPA المتقدمة تستخدم التعرف البصري على العناصر بدلاً من محددات CSS الثابتة. إذا حرّك فيسبوك زراً ما، يمكن للأداة العثور عليه من خلال مظهره البصري.

وصول كامل للميزات: واجهة فيسبوك تعرض ميزات غير متاحة عبر Marketing API — خيارات استهداف معينة وأدوات إبداعية وإعدادات حساب متاحة فقط عبر الواجهة.

عيوب RPA

السرعة: RPA أبطأ بطبيعته من استدعاءات API. إنشاء حملة عبر API يستغرق 1-3 ثوانٍ. عبر RPA يستغرق 30-120 ثانية بما فيها التأخيرات الشبيهة بالبشر.

الهشاشة: واجهة فيسبوك تتغير بشكل متكرر. تغيير اسم فئة CSS أو تحوّل في التخطيط أو نافذة حوار جديدة يمكنها كسر السكربتات. عبء الصيانة مرتفع.

حدود الحجم: كل عملية RPA تتطلب نسخة متصفح. تشغيل 50 إنشاء حملة متزامن يتطلب 50 نسخة متصفح — استهلاك ضخم لوحدة المعالجة المركزية والذاكرة العشوائية.

استعادة الأخطاء: عندما يحدث خطأ في منتصف العملية (نافذة منبثقة غير متوقعة أو فشل تحميل الصفحة أو عنصر غير موجود)، الاستعادة معقدة. فشل استدعاءات API القائمة على التوكنات ينتهي بشكل نظيف مع رموز أخطاء. أعطال RPA يمكن أن تترك جلسات المتصفح في حالات غير معروفة.

النهج الهجينة

أكثر المنصات grey-hat تطوراً تجمع بين الطرق الثلاث:

1. حقن الكوكيز لتأسيس الجلسات في ملفات تعريف المتصفح المضاد للاكتشاف
2. استخراج التوكنات من تلك الجلسات لعمليات API سريعة
3. RPA كاحتياطي للعمليات التي تتطلب تفاعل المتصفح أو عندما تُعلَّم التوكنات

هذا النهج متعدد الطبقات يوفر أقصى قدر من المرونة. Dolphin Cloud مثلاً يمكنه إنشاء حملات عبر استدعاءات API بالتوكنات من أجل السرعة، والتراجع إلى RPA عندما تثير أنماط API الاكتشاف، واستخدام حقن الكوكيز للحفاظ على جلسات دائمة عبر عشرات الحسابات.

سباق التسلح في الاكتشاف

تستثمر Meta بكثافة في اكتشاف الاستخدام غير المصرح به للأدوات. إشارات الاكتشاف تشمل طرق الوصول الثلاث:

التحليل السلوكي

• أنماط إنشاء حملات موحدة بشكل مفرط (نفس البنية والتوقيت واصطلاحات التسمية)
• ساعات نشاط لا تتطابق مع الأنماط التاريخية للحساب
• نشاط متزامن عبر حسابات متعددة مترابط (نفس الإبداعات ونفس الاستهداف ونفس التوقيت)

الإشارات التقنية

• طلبات API بدون توقيعات تطبيقات صحيحة
• بصمات متصفح فريدة إحصائياً بشكل مفرط (بشكل مفارق، المتصفحات المضادة للاكتشاف يمكنها إنشاء بصمات مثالية بشكل لافت)
• سلاسل عارض WebGL لا تتطابق مع الأجهزة المُبلَّغ عنها
• تناقضات في المنطقة الزمنية بين البصمة وعنوان IP وإعدادات الحساب

تحليل الشبكة

• حسابات متعددة يُصل إليها من نفس نطاق IP
• أنماط استخدام البروكسي (بروكسيات سكنية من موردين معروفين بالاحتيال في الإعلانات)
• استحالات جغرافية (حساب مسجل الدخول من قارتين في غضون دقائق)

تحليل الإبداعات والمحتوى

• إبداعات إعلانية متطابقة أو شبه متطابقة عبر الحسابات
• صفحات هبوط تطابق أنماط التمويه المعروفة
• تشابه نسخ الإعلانات المتجمع عبر الحسابات المُعلَّمة

كل تحسين في الاكتشاف من جانب Meta يُحفز إجراءات مضادة من مطوري الأدوات — تقنيات بصمات جديدة ومحاكاة سلوكية محسّنة وتشويش أكثر تطوراً. سباق التسلح هذا مستمر ومتسارع.

البديل الرسمي

لمشتري الوسائط الذين يريدون قدرات الأتمتة دون المخاطر التقنية، توفر أدوات مثل AdRow وصولاً رسمياً لـ Marketing API مع:

• مصادقة OAuth — لا توكنات لاستخراجها ولا كوكيز لحقنها
• عمليات حملات جماعية — إنشاء وإدارة الحملات على نطاق واسع عبر API موثق
• قواعد تلقائية — منطق شرطي يتفاعل مع الحملات بناءً على بيانات الأداء
• صفر مخاطر اكتشاف — جميع العمليات مفوّضة ومتوقعة من أنظمة Meta

خريطة المنظومة الكاملة توفر سياقاً أوسع لمكان هذه الأدوات، وشرح الإطلاق التلقائي يغطي تدفقات عمل إنشاء الحملات بالتفصيل.

فهم كيف تعمل أدوات grey-hat ليس تأييداً لاستخدامها. إنه محو أمية تقني يجب أن يمتلكه كل مشتري وسائط جاد — لأن منافسيك بالتأكيد يمتلكونه.