八年前Meta就有万亿参数模型了。可这次把自家用户拖进泥潭的,不是庞大参数的幻觉,反倒是那个被寄予厚望、要“随时随地帮你解决问题的”AI客服聊天机器人。研究者们曝光了一场教科书式的社会工程攻击:黑客猫在屏幕后面,靠几句对话就诱使Meta的AI支持助手,乖乖交出了高价值Instagram账号的控制权。受害者名单包括奥巴马白宫官方账号、丝芙兰,乃至美国太空军总军士长。这件事让人忍不住重新掂量:当我们把密码重置这样的钥匙交给一个能说会道的聊天机器人时,究竟是开了一扇便利之门,还是直接卸掉了门锁?
把时间拨回今年三月,Meta在一份新闻稿里颇为自豪地宣布,那个能替用户跑腿的AI支持助手已经在脸书和照片墙上面向全球铺开。按照当时的构想,这位“助手”可以直接替用户完成一系列操作——举报诈骗、标记冒充账号、处理不良内容,当然也包括帮助真正需要的人重置登录凭证。新闻稿的原话是:“Meta AI支持助手是我们在应用中提供更强支持工作上的重要一步,它能针对日益增多的请求,直接在脸书中为你采取行动,未来还会登陆照片墙。”听起来像是一个排忧解难的数字管家,然而仅过去两个多月,这套管家系统就被玩成了黑客的门禁卡。
正方或许想说:出发点无可厚非。平台每天要面对海量的账号恢复请求,靠纯人工响应,可能等到账户找回时,作恶者早已把该卖的卖了、该删的删了。一个可以7×24小时在线、不会疲倦、不被情绪左右的AI助手,理论上能大幅缩短响应时间,把安全人员从重复劳动里解放出来。它问你需要什么帮助,你说忘记了密码,它便发送验证码到你的邮箱,你输入正确的数字,它就帮你打开那扇门。整个过程顺畅、快速,恍若未来。
可这次事件恰恰撕开了这个“未来”的遮羞布。从404媒体的报道以及电报、X平台上流传的视频来看,攻击者根本没费什么力气就绕过了所谓的验证流程。他们是怎么干的?其中一段视频显示,黑客直接要求Meta的AI助手把目标账号绑定到一个新的电子邮件地址;对话框里的机器人非但没有警觉,反而温和地告诉对方,验证码已经发到那个新邮箱了,请把数字输进聊天界面。攻击者一粘贴正确的验证码,屏幕上便弹出了重置目标账号密码的按钮。也就是说,AI压根不在意提出请求的是不是账号主人,它只是严格遵循了一串“看似合理”的对话指令,机械地执行了下去。更讽刺的是,至少有一段视频里,攻击者还使用虚拟专用网络伪装成账号持有人的实际位置,绕过了平台本应存在的风控栅栏。于是一个理论上用来保护用户的工具,就这样成了攻击者手中的万能钥匙。
用正方偏爱的逻辑来看,这不过是“初期小插曲”,只要打上补丁就好。而Meta的动作也很快:公司周一确认确有此事,并表示问题已得到解决,受影响的账号都在加固保障之中。表态说得很明确——“该问题已解决,我们正在保护受影响的账户。”但反方死死揪住的一点是:在这个“问题解决”之前,它到底存在了多久?损害范围有多大?即便是日常用户,过去这个周末在红迪网和X上抱怨遭遇类似劫持的帖子也绝非孤例。而那些大账号只是一面更显眼的招牌。如果连奥巴马的白宫账号都要靠外部研究人员曝光才被发现异常,那沉默的大多数素人账号呢?一旦AI被训练得只会对一套话术点头称是,它就会无限放大社会工程攻击的威力——过去骗一个客服还要设计话术、学点心理学,现在换成骗一个没有判断力的聊天机器人,成本骤降,效率陡升。
反方还有一个更深的担忧:权柄的让渡。Meta正在以AI为核心重组员工岗位,把越来越多有实质影响的动作下放给模型。AI助手可以直接“替用户操作”,这本就意味着它被授予了相当的权限。一旦这个权限没有套上足够坚固的验证逻辑,机器人便可能分不清是主人在敲门,还是盗贼在按铃。一个会帮你重置密码、绑定邮箱的AI,某种意义上就等于掌握了数字世界的武库钥匙。这次的攻击者还只是简单要求“把账号链接到新邮箱”,倘若他们发现更复杂的权限组合呢?更别说,这种基于对话的攻击完全可能产业化和自动化,形成一条不需要多少技术门槛的黑产流水线。
我的判断并不暧昧:这不是AI功能本身的原罪,而是“太快把钥匙交出去”的毛病。用AI处理一些低风险的事务——比如告诉你如何举报帖子、解释隐私设置——原本毫无问题。但密码重置这个动作,天生就该被看成最危险的操作之一。把这种高风险步骤放进一个聊天机器人的口袋里,却没有同步植入足以识别恶意诱骗的上下文理解能力,就等于把银行金库的锁装在了自动售货机上。虚拟专用网络可以伪装地理位置,攻击者可以套取验证码,这些都不是新问题;但过去这些攻击手段需要骗过一个活人客服。活人客服或许会多问几个问题、察觉异样,但目前的AI显然缺少这种直觉。而Meta的事后表态,也回避了一个关键问题:这些助手的决策模型里面,到底对“异常绑定”和“位置突变”做了多大程度的防范?究竟是设计缺陷,还是仅仅某个环节的配置失误?如果连这个都不讲清楚,那所谓的“问题已解决”就只能是一句轻飘飘的公关用语。
说到底,这起事件应该成为一个行业的警示灯,而不是一则只热闹三天的安全快讯。把钥匙交给AI之前,得先确认它是否分辨得出谁是家门前真正的主人。否则,下一次被推上热搜的,可能就不只是白宫的一个老账号了。
热门跟贴