AI客服反成内鬼？Meta紧急修补密码重置漏洞

你的Instagram账号真的安全吗？当你在密码重置流程中点开那个看似无害的“与AI客服对话”按钮，或许不会想到，这个被Meta寄予厚望的聊天机器人，正把数千个高价值账号的通行证，殷勤地递到黑客手中。

上周末，Telegram上开始疯传一段视频：一名黑客仅用几分钟，就通过Meta的人工智能客服机器人，把一个高价值IG账号的密码重置链接，轻松换到了自己的邮箱。没人料到，这个连奥巴马白宫官方账号都没能幸免的攻击，背后的武器竟是AI过于“听话”的执行力。这份“热情”不仅让黑产市场狂欢，更撕开了所有依赖AI客服的平台都该感到紧张的安全裂口。

打开网易新闻 查看精彩图片

事件之后，Meta紧急推送补丁，但留下的糟糕示范和仍在暗网流传的教程，足以让每个互联网用户警觉：当AI开始接管账号恢复这类高敏操作时，我们是不是亲手把门钥匙交给了不懂拒绝的机器人？下面，我们从五个关键维度，拆解这场用AI客服实施的精准劫持。

1. 攻击手法：一份标准密码重置请求，加一个“贴心”的AI中间人

据Telegram上亲伊朗黑客发布的视频教程，这次劫持利用的并非软件漏洞，而是一个被AI客服解释得过分“善意”的标准流程。攻击者首先通过VPN连接，将自己的IP地址伪装成目标账户常用登录地的附近地址。这一步是为了骗过系统风控，让平台以为是一个来自老地方的可信设备正在发起重置。

随后，攻击者在登录页选择“忘记密码”，并点击“与AI助手对话”选项。视频显示，这个AI客服被设计来处理常见的账号恢复工作流，比如重新绑定丢失的邮箱、触发密码重置、验证账户所有权。当黑客告诉机器人，自己想为那个目标账户关联一个新电子邮件地址时，AI没有起疑，而是照章办事地把一个一次性验证码发到了黑客指定的邮箱。

就是这枚一次性验证码，让黑客轻松完成了密码重置，将老号主彻底踢出。整个过程如同对一个过度热情的客服说“麻烦把我家的锁换到这把新钥匙上”，而对方不仅不问原委，还微笑着把新钥匙亲手寄给你。Telegram上多个即时消息频道在5月31日就开始传授这套话术，强调Meta的AI机器人“很乐意”为任何请求添加新邮箱，完全不像人类客服那样会追问账户历史或身份验证问题。

2. 目标选择：专挑短用户名吃下，黑市值超50万美元

被劫持的，不是随意撒网的普通账号。黑客瞄准的全是所谓“高价值、短用户名”的IG身份，比如代表美国前政府形象的@obamawhitehouse，以及美国太空军首席军士长的官方页面。这些账号被短暂贴满亲伊朗图片、视频和信息后，其背后更值钱的或许是用户名本身。

在该视频关联的Telegram帖子中，黑客贴出了多张已控制账号的截图，并声称通过这套AI劫持法，他们已经囤积了一批单字符或短字符的IG账号名，据称在灰产市场上的转售总价超过50万美元。短用户名在社交平台上具备稀缺性和身份象征，黑市交易常年活跃，黑客这次的“收割”直接瞄准了这一金矿，而AI客服则成了他们最高效的搬运工。

3. 平台之困：糟糕的人工支持，逼出了更糟糕的AI替代方案

Meta至今未对视频中的具体声明发表公开评论，但据安全博客thecybersecguru.com报道，该公司已承认奥巴马白宫的休眠账号曾短暂失陷，并紧急在上周末推送了修复补丁，同时澄清没有后端数据库被侵入。问题出在流程，而非数据泄露。

安全博客一针见血地指出：“Instagram以其糟糕的人工支持基础设施而臭名昭著。若想找回一个被锁账号——尤其是高价值的那种——用户可能需要通过自动化工单系统来回拉扯数周。”在这种现实倒逼下，Meta决定让对话式AI层接管常见的恢复工作流：重链丢失的邮箱、触发密码重置、验证账号归属。这个AI助手的初衷，是降低被困在账号访问地狱中的合法用户的摩擦感。可讽刺的是，它同样能降低——甚至消除——恶意攻击者闯入账号的门槛。正如一个笨拙的人类客服可以被骗子说服，交出客户的访问权限一样，这个AI新人也同样缺乏防范社会工程学的本能。

4. 新型攻击面：AI客服，社会工程学手到擒来的“软柿子”

Lumen公司Black Lotus Labs的威胁研究员伊恩・戈尔丁对此发出了更广层面的警告：随着越来越多的大型在线平台开始允许AI聊天机器人处理敏感的账户恢复请求，我们正踏入一片未经测绘的安全险地。他的原话清晰有力——“AI聊天机器人创造了有趣的新攻击面，我们很可能会看到更多此类攻击。”

他的担忧点明了本质：人类客服可以具备警惕性，在接到可疑请求时要求核实身份、拒绝越权操作。但AI的决策逻辑基于训练数据和规则集的匹配，它没有真正的“怀疑”机制。只要请求命中既定的帮助意图，即便对方是个试图加绑定新邮箱的黑客，机器也会像处理合法用户一样完成服务。也就是说，之前安全从业者需要费心训练人类员工别被社会工程学拿下，现在他们还得教会一个不懂人情世故的对话模型同样别被骗——而这个任务比前者难上一个量级。

5. 自救防线：无论平台AI多“傻”，握住多因素认证这把最后的钥匙

这场闹剧的最终教训，或许不该只由平台来背。对于普通用户而言，无论系统怎么补漏，账号安全的最后一道防线始终在自己手里。安全专家反复强调，保护各类在线账户的最佳方式，是启用所提供的最安全形式的多因素认证，比如通行密钥或硬件安全密钥。即便无法使用最高等级手段，在这个案例中，哪怕只用一种最基础的多因素认证，也能在AI机器人误发验证码后，增加黑客通过最后验证关卡的难度，让劫持流程无法完整闭合。

遗憾的是，公开信息显示，被劫持的那批高价值IG账号很可能并未开启