6月2日,Meta宣布修复了AI智能助手的一项重大安全漏洞,日前黑客利用该漏洞盗取了大量Instagram优质账号,包括奥巴马政府时期的白宫官方账号、美国太空部队总军士长约翰·本蒂韦尼亚(John Bentivegna)个人账号、美妆零售巨头丝芙兰官方账号等。目前,许多高价值账号正被二次出售,被盗用户维权受阻。
此次网络攻击始于上周末,Reddit、X平台上多位用户反映自己的Instagram账号被盗,提醒其他用户及时修改个人信息。据一位“中招”的安全研究员透露,“账号密码在不知情时被篡改,近期还多次收到异地密码重置申请。”
经梳理,这是一起平台AI智能助手作为“帮凶”的网络攻击事件。据悉,Meta的AI智能助手上线于去年12月,主要为全平台用户提供自助申诉、密码重置等服务,目的是降低人工客服成本。在盗取大量经过认证的高质量账号后,黑客依托暗网等渠道出售账号并开展一系列黑灰产交易。
黑客是如何利用AI“偷梁换柱”的?X平台上流传的一段破解视频曝光了完整的作案链条。视频显示,黑客先使用了虚拟专用网络(VPN)来模拟受害者可能所处的地理位置,绕过Instagram自动风控系统;然后与Meta AI智能助手(Meta AI Support Assistant)开展对话,要求助手为目标账号添加一个全新的电子邮箱地址。在智能助手向黑客指定邮箱发送验证码后,系统便会直接弹出“重置密码”选项,从而完成盗号。
“诱骗”AI配合完成盗号。
此次攻击事件的核心,在于黑客全程无需攻破目标账号的原绑邮箱,仅凭AI智能助手的“配合”便能实现账号易主,引发了诸多担忧。多位安全专家提出,审核、操作流程全程自动化,关键环节缺乏真人介入或导致AI智能助手的权限逻辑漏洞成黑产新突破口,建议企业为AI系统增设更严谨的身份验证与风险拦截机制,避免其沦为黑客的攻击工具。
6月2日,Instagram方面回应称漏洞已封堵,但拒绝公布受影响的账号数量以及造成的损失。不少被盗用户发帖反馈称,目前无法申诉找回账号,平台也未开通人工对接通道,陷入维权无门的境地。
据了解,此次攻击事件还引发了外界对Meta等科技公司AI转型策略的关注,认为其在盲目推行全面AI化的过程中,忽视了最核心的安全风控问题。今年1月,马克·扎克伯格(Mark Zuckerberg)宣布将2026全年资本支出上调至1250亿至1450亿美元,并在5月削减了8000个工作岗位,将更多资源投入到AI开发和应用部署中。
采写:南都N视频记者 樊文扬
热门跟贴