Meta AI 支持机器人被曝协助黑客入侵 Instagram 账户

Meta 的 AI 支持助手（Meta AI support bot）近日被曝存在安全漏洞，黑客可利用该漏洞获取高知名度 Instagram 账户的访问权限。据社交媒体上的报告，Meta AI 能够直接更改与 Instagram 账户关联的电子邮件地址，随后攻击者即可更新密码并劫持账户。

Meta 于去年 12 月推出 AI 支持助手，旨在为用户提供全天候账户支持服务。该助手可用于举报诈骗、获取内容删除信息以及重置密码。而最后一项功能正是黑客此次利用的关键。该漏洞首先在上周末于 X（原 Twitter）平台曝光，一些用户发布了演示如何利用该漏洞的截图。在一段演示中，黑客要求 Meta 的新 AI 支持机器人将关联邮箱更改为随机生成的加密邮箱，而机器人未加验证直接执行。

据 MacRumors 报道，该支持机器人未执行严格的身份验证，在某些情况下甚至完全绕过了双因素认证（2FA）。黑客只需将 VPN 连接至目标账户附近的地区即可实施攻击——这颇具讽刺意味，因为 Meta 在其博客中宣称“我们的系统比以往更能识别您常用设备和熟悉的地点”。至于 2FA 和自拍验证，黑客可以从用户页面获取照片，再利用 AI 图像生成工具制作动态图以欺骗验证程序。

Meta 已于上周末修复该漏洞，但在漏洞存在期间，黑客成功劫持了包括奥巴马白宫账户以及一名美国太空军高级官员账户在内的多个高知名度账号。Meta 目前正“保护受影响的账户”。（来源：MacRumors）

雪鸮编辑认为，这事最大的问题是 AI 客服的权力边界——能直接改邮箱的权限居然没加身份验证，就像把大门钥匙挂在门口。虽说 Meta 已经打补丁，但在这期间被黑的账户要是涉及商业或敏感信息，损失就不好算了。加拿大这边用 Instagram 做生意的华人账号不少，建议趁现在检查一下账户的安全设置，别等出了问题再补救。