黑客欺骗Meta AI客服聊天机器人,盗取名人Instagram账号
一句话看懂:黑客利用Meta AI客服聊天机器人的权限漏洞,通过简单的“提示注入”攻击(prompt injection),成功劫持了包括美国前总统奥巴马和前空天军高级军士长在内的多个知名Instagram账号,并在地下市场转售。Meta已于5月29日紧急修复该漏洞,但攻击已持续数月,暴露了AI Agent在账户管理中的安全风险。
事件核心:发生了什么
据404 Media和Ars Technica报道,这次攻击的核心手段极为简单:攻击者只需使用VPN,将IP地址伪装成目标Instagram账户所在区域,然后向Meta AI客服聊天机器人发送“重置密码”和“更改关联邮箱”的指令。该AI客服机器人(Meta AI support assistant)在未验证用户身份、未要求二次验证(2FA/MFA)的情况下,直接执行了邮箱更改操作,使攻击者能够接管账户。黑客还在Telegram群组中分享了这一“异常简单”的漏洞利用过程。
受影响的账户包括@BarackObama(奥巴马白宫官方账户)和@ChiefMasterSergeantSpaceForce。这些账户在被短暂劫持期间,发布了支持伊朗的图像和信息。据报道,包括短ID @hey和@jowo在内的超值账户,其地下灰市估值合计超过100万美元。该漏洞最早可追溯到2026年2月,已被用于攻破数千个账户,但直到5月底的高调账户失窃事件才引发广泛关注。
秘密研究人员Jane Manchun Wong、开源情报研究员ZachXBT以及Dark Web Informer等均确认了该漏洞的存在。ZachXBT指出,该AI客服拥有“大量访问权限”,允许重置任意用户密码,且不检查二次验证。KrebsOnSecurity的报道也证实,启用多因素认证(MFA)的账户,即使是基于短信的一次性密码,也能有效抵御该攻击。
为什么重要
这一事件凸显了AI Agent(AI智能体)在关键系统部署中的重大安全缺陷。Meta于2026年3月推出其AI客服助手,宣称能提供“7×24小时可靠支持”,但它被赋予了修改、创建或删除关键账户数据的特权权限,却没有设置足够的“确定性门控”。安全博客CyberSec Guru将其描述为经典的“confused deputy”(糊涂代理)问题——一个拥有高权限的程序被低权限的第三方诱导而滥用权限。
与传统的确定性程序不同,大语言模型(LLM)基于概率响应模式,更容易被“提示注入”操纵。Meta的漏洞说明,在AI Agent快速落地的大背景下,许多公司可能在安全防护尚未完善的情况下,就仓促将AI连接到核心业务系统。它向整个AI行业发出警示:当AI拥有执行敏感操作的权限时,必须配套“带外验证”、“速率限制”、“异常行为检测”及“硬性确定性门”等最小安全架构。
对用户/开发者/创作者的影响
对普通Instagram用户和创作者而言,最直接的教训是:务必开启多因素认证(MFA)。即便只是短信验证码,也能有效阻断此类AI劫持攻击。黑客的测试显示,未启用MFA的账户是主要目标。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对于AI开发者与企业,这一事件意味着设计内部权限与外部交互的边界时,必须引入“确定性检查点”。例如,任何通过AI发起的账户修改请求,都应触发一次独立于AI系统的、带外的人类确认步骤(如邮件或短信验证码)。此外,需要对AI驱动的修改流程实施基于账户风险信号的速率限制,并记录所有AI操作日志以进行异常检测。
对于品牌方与高价值账户持有者,应主动将账户安全级别提升至企业级,使用硬件安全密钥等更高级的MFA方式,并考虑异地备份账户恢复凭证。
值得关注的后续
1. Meta的修复是否彻底:目前漏洞已在5月29日紧急修补,但需关注Meta后续是否发布安全审计报告,以及是否会强制要求高风险账户(如大V、品牌号)必须启用MFA。
2. 类似AI客服的普及风险:其他布局AI客服的公司(如Google、微软、以及众多电商和社交平台)是否会重新评估其AI Agent的权限范围?行业可能会加速制定AI Agent的“最小权限”安全标准。
3. 地下市场的后续反应:黑客是否已发现绕过当前补丁的新方法?以及这次事件是否会推动灰市交易数据与执法行动联动,进一步影响账户买卖市场。
