照片分享平臺 Instagram 近日緊急修復了一個重大安全漏洞。此前,多名用戶的賬號因該漏洞遭到非法入侵,而黑客的核心作案手段,竟然是誘騙 Meta 自研的人工智能客服聊天機器人,從而輕鬆獲取了受害者賬號的控制權限。

名人和官方賬號相繼淪陷

在上週末,多名社交平臺用戶紛紛爆料自己的 Instagram 賬號被盜。受害者中不僅包含普通用戶,甚至還包括奧巴馬政府時期的白宮官方賬號,以及美國太空部隊總軍士長的個人賬戶,引發了外界對 AI 客服安全性的廣泛擔憂。

安全研究人員簡·黃也是此次事件的受害者之一。她透露,自己的登錄密碼在毫無徵兆的情況下被篡改,且當天接連收到多起異地密碼重置申請,整個被盜過程讓用戶感到十分恐慌。

全程無需攻破用戶郵箱

根據網絡流傳的黑客操作視頻顯示,這套漏洞的入侵流程極具欺騙性。黑客首先利用虛擬網絡僞造目標用戶的地理位置,成功規避了平臺的自動化風控系統,隨後便直接對接 Meta 的 AI 客服助手。

在交流中,黑客誘騙 AI 客服爲目標賬號綁定新的電子郵箱。AI 客服在向新郵箱發送驗證碼並得到黑客回傳後,便直接彈出了密碼重置按鈕,這使得黑客在全程無需攻破受害者原本綁定郵箱的情況下,完成了賬號劫持。

平臺迴應漏洞已被修補

針對這一極其嚴重的 AI 邏輯漏洞,Instagram 發言人隨後做出瞭解應。發言人安迪·斯通表示,相關安全漏洞目前已經全部修補完畢,平臺已恢復正常安全風控。

不過,官方並未透露具體有多少用戶在此次事件中遭到非法入侵。網絡安全專家對此提醒,AI 客服在提升服務效率的同時,其權限校驗邏輯仍需更嚴格的監管與審覈。