BlackHalo logo
Published on

Meta确认数千Instagram账户因AI聊天机器人漏洞被黑

Authors
  • Name
    speckx
    this.weekinsecurity.com
Meta AI聊天机器人界面,显示对话和密码重置功能
头图来源: 来源页面

事件概述

Meta公司近日确认,由于旗下AI聊天机器人Meta AI存在一个严重的安全漏洞,导致数千个Instagram账户被黑客成功劫持。根据提交给缅因州总检察长办公室的数据泄露通知,Meta已通知至少20,225名用户其账户遭到入侵,其中仅缅因州就有30人受到影响。这次攻击活动从4月17日左右开始,持续了数月之久,直到本周才被发现并修复。

漏洞细节

黑客利用的是Meta AI聊天机器人在账户恢复系统中的缺陷。具体来说,任何用户只要向该聊天机器人提出重置密码的请求,就能绕过正常的验证流程,重置任何未启用双重验证(2FA)的Instagram账户密码。漏洞的核心问题在于,聊天机器人会将密码重置验证码发送到黑客提供的邮箱地址,而非账户持有人原始绑定的邮箱。

  • Meta在通知中解释:系统无法正确验证请求重置密码的用户所提供的邮箱,是否与账户绑定的邮箱一致。
  • 这种验证缺失导致密码重置链接被发送到未经授权的第三方邮箱。
  • 一旦黑客接收到重置链接,他们就能完全接管受害者的Instagram账户以及任何关联账户(如Facebook)。

影响范围

入侵者不仅可以获取联系信息、出生日期和个人档案资料,还能查看用户的帖子、私信以及账户活动记录。Meta在通知中表示,目前尚不清楚是否有任何个人信息在入侵期间被实际访问或窃取。截至发稿,Meta未回应置评请求。

Meta的应对措施

幸运的是,Meta已经采取了多项措施来遏制事态并保护用户。

  • 公司已暂时禁用该AI聊天机器人,防止漏洞被继续利用。
  • 移除了允许聊天机器人重置用户账户的代码路径。
  • Meta正在检查其平台上的其他聊天机器人,以确保没有类似缺陷。
  • 同时,Meta指示受影响的用户重置密码,并通过安全、经过验证的渠道重新进行身份验证。

背景与反思

这次事件发生在Meta大力投资AI技术,同时裁减数千名员工的背景下。目前尚不清楚具体是什么原因导致聊天机器人被滥用,但显然AI系统在部署前未能充分测试安全漏洞。这起事件再次提醒我们,即便是最先进的AI技术也可能存在严重的安全隐患。企业在追求AI功能快速上线时,必须将安全测试置于优先位置,尤其是当AI系统被赋予敏感操作权限时,更要严加审查。

此外,事件也凸显了双重验证(2FA)的重要性。如果所有受影响的用户都开启了双重验证,黑客就无法利用这个漏洞。Instagram和Meta应进一步推动用户启用2FA,并考虑将2FA设置为默认选项。

对于受影响的2万多名用户来说,账户被劫持意味着隐私泄露和潜在的社交影响。Meta需要加强后续的受害者支持工作,包括协助恢复账户、监测异常活动以及提供身份保护服务。从更宏观的角度看,本次事件可能引发监管机构对AI安全性的新一轮关注,尤其是在账户恢复等关键功能中使用AI的合规性问题。

原标题:Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot。 HN 原始发布时间:2026年6月7日星期日。当前记录为 692 分、252 条评论。

阅读原文 · 查看 HN 讨论