北京
有没有想过,社交媒体账号被黑,可能根本不需要你做什么——甚至不需要你的密码?上周末,Instagram上一批知名账号遭殃了。最引人注目的,大概是巴拉克·奥巴马的“白宫”账号。但更离谱的事情还在后头:黑客们没费多大力气,是Meta的AI客服聊天机器人,亲手把账号交出去的。
根据科技媒体404 Media的报道,整个攻击流程简单到让人难以置信。黑客只需要向Meta的AI客服助手提出一个看似无害的请求:把目标账号绑定的邮箱地址换掉。接着,黑客会诱骗这个机器人启动密码重置流程,并且全程不需要任何身份验证。接下来的事就顺理成章了——AI会把一个访问验证码发到黑客自己的邮箱里。黑客再把收到的验证码复制粘贴回对话框。AI收到验证码后,直接在聊天界面里弹出一个“重置密码”的按钮。点一下,密码就改了,账号控制权到手。
社交平台X上甚至流传着一个经过剪辑的、展示了整个攻击步骤的指导视频。视频里,黑客用了一个虚拟专用网络(VPN)工具,让系统以为他就在目标账号主人的所在地。结果,AI二话不说,立刻批准了请求。从头到尾,这黑客连用户的邮箱地址和原始密码是啥都不需要知道。网络安全资讯博主“暗网情报员”(@DarkWebInformer)在2026年6月1日发布的一条推文里点明了问题所在:“Instagram存在一个漏洞,让你可以通过Meta AI,重置那些没开多因素认证(MFA)账号的密码。”他补充说,这个漏洞在不久前已经被修复了。
这次安全事件的波及范围不算小。除了政治性的账号之外,受影响的受害者名单里还有化妆品零售商丝芙兰和美国太空部队的总军士长约翰·本蒂维尼亚。目前还不清楚到底有多少账号中招,但过去的这个周末,在Reddit和X上,一大堆用户都在报告自己账号被盗的经历,其中就包括知名的安全研究员简·黄。简·黄在X上讲述了自己的遭遇:“我的密码在我完全不知情的情况下被改掉了。昨天一整天,我都在收到各种密码重置的尝试请求。”她还补充道:“而且,我反复被Instagram的苹果手机应用强制登出。这事相当让人不安。”
那么,这个漏洞到底是怎么产生的?问题几乎完全出在Meta的客服体系身上——现在,这套体系由人工智能接管了。今年三月,这家科技巨头做出了更换决定,当时他们对外宣称,这将“为账号相关问题,比如更新密码和个人资料设置,提供全天候的帮助”。但事实证明,当整个流程都交给AI聊天机器人处理时,一个致命的缺陷暴露了出来:一旦出现可疑活动,人类员工没法及时介入。
正是这个空缺,让黑客得以反复发动这种社会工程学式的攻击,而且一而再,再而三地成功,直到事情闹大才被发现。据《网络安全新闻》报道,安全研究员ZachXBT和“暗网情报员”是首批公开揭露该漏洞的人,但在此之前,已经有多个知名大号被偷走了。“暗网情报员”还实时追踪了这些高级账号在黑市上的出售情况。其中一些被盗账号被打包捆绑,开出的价码高达一百万美元。
事后,Instagram的发言人安迪·斯通在X上发了一条帖子,表示这个安全漏洞现已被堵上。404 Media的报道则指出,Meta目前正在着手“保护那些受影响的账号”。截至发稿时,对于相关的置评请求,Meta方面还没有做出任何回应。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
