照片分享平台 Instagram 近日紧急修复了一个重大安全漏洞。此前,多名用户的账号因该漏洞遭到非法入侵,而黑客的核心作案手段,竟然是诱骗 Meta 自研的人工智能客服聊天机器人,从而轻松获取了受害者账号的控制权限。

名人和官方账号相继沦陷

在上周末,多名社交平台用户纷纷爆料自己的 Instagram 账号被盗。受害者中不仅包含普通用户,甚至还包括奥巴马政府时期的白宫官方账号,以及美国太空部队总军士长的个人账户,引发了外界对 AI 客服安全性的广泛担忧。

安全研究人员简·黄也是此次事件的受害者之一。她透露,自己的登录密码在毫无征兆的情况下被篡改,且当天接连收到多起异地密码重置申请,整个被盗过程让用户感到十分恐慌。

全程无需攻破用户邮箱

根据网络流传的黑客操作视频显示,这套漏洞的入侵流程极具欺骗性。黑客首先利用虚拟网络伪造目标用户的地理位置,成功规避了平台的自动化风控系统,随后便直接对接 Meta 的 AI 客服助手。

在交流中,黑客诱骗 AI 客服为目标账号绑定新的电子邮箱。AI 客服在向新邮箱发送验证码并得到黑客回传后,便直接弹出了密码重置按钮,这使得黑客在全程无需攻破受害者原本绑定邮箱的情况下,完成了账号劫持。

平台回应漏洞已被修补

针对这一极其严重的 AI 逻辑漏洞,Instagram 发言人随后做出了解应。发言人安迪·斯通表示,相关安全漏洞目前已经全部修补完毕,平台已恢复正常安全风控。

不过,官方并未透露具体有多少用户在此次事件中遭到非法入侵。网络安全专家对此提醒,AI 客服在提升服务效率的同时,其权限校验逻辑仍需更严格的监管与审核。