← 返回信息流
AI 资讯Hacker News·3 小时前

Meta确认数千Instagram账号因滥用AI聊天机器人遭黑客攻击

原标题:Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot

速览

Meta官方确认,数千个Instagram账号遭到黑客攻击。攻击者通过滥用Meta的AI聊天机器人功能,成功绕过了安全验证机制。这一事件凸显了AI集成应用中潜在的安全风险,提醒平台需加强相关防护。

AI 深度解读

Meta 确认数千 Instagram 账号因 AI 聊天机器人漏洞遭黑客入侵

背景

Meta 近期向数千名用户发送了数据泄露通知,披露了一起持续数月之久的重大安全事件。黑客利用 Meta 旗下 AI 聊天机器人(AI chatbot)中的漏洞,通过社会工程学手段欺骗系统,从而劫持了大量 Instagram 账号。

这一事件最早由 404 Media 和 TechCrunch 报道,随后 Meta 向缅因州总检察长办公室提交了正式的数据泄露通知函,首次公开了受影响的账号数量及具体技术细节。该漏洞允许攻击者在未开启双重验证(2FA)的情况下,重置任何 Instagram 账号的密码,进而完全控制用户账户及其关联信息。

核心内容

根据 Meta 提交给缅因州总检察长办公室的通知函,Meta 已确认至少有 20,225 名用户的 Instagram 账号遭到入侵,其中包括 30 名位于缅因州的居民。此次入侵活动大约始于 4 月 17 日,并持续至本周 Meta 修复漏洞并停止聊天机器人服务为止。

攻击手法与漏洞原理

黑客利用了 Meta 账户恢复系统中的一项 AI 辅助功能。具体而言,该聊天机器人存在一个代码路径上的缺陷(bug),导致其未能正确验证请求重置密码时提供的电子邮件地址是否与用户 Instagram 账号关联的邮箱一致。

正常情况下,当用户请求重置密码时,系统应向注册邮箱发送验证码。然而,由于上述漏洞,黑客只需在聊天界面中输入一个由他们控制的电子邮件地址,AI 聊天机器人便会错误地信任该请求,将密码重置链接发送至黑客控制的邮箱,而非账号持有人的原始邮箱。

Meta 在通知中解释道:“该工具本身运作正常且符合预期;然而,由于单独代码路径中存在一个错误,系统未能正确验证个人请求重置密码时提供的电子邮件地址是否与用户 Instagram 账号关联的电子邮件地址匹配。”

造成的后果

一旦黑客接收到密码重置链接,他们即可重置目标用户的密码,并完全接管该 Instagram 账号。由于 Instagram 账号通常与其他服务(如 Facebook)关联,黑客因此获得了以下权限和信息:

  • 访问用户的帖子、私信(Direct Messages)及账号活动记录。
  • 获取用户的联系方式、出生日期和个人资料信息。
  • 控制任何与 Instagram 账号关联的其他 Meta 平台账户。

Meta 的响应与现状

Meta 表示,目前尚不清楚黑客在入侵期间是否访问或窃取了具体的个人信息(截至报道时,Meta 未回应媒体关于此细节的澄清请求)。

为遏制事态,Meta 已采取以下措施:

  1. 暂时禁用 了该 AI 聊天机器人。
  2. 移除 了允许聊天机器人重置用户账号的代码路径。
  3. 指示受影响用户通过安全、经过验证的渠道重置密码并重新进行身份验证。
  4. 正在检查其平台上的其他聊天机器人,以防止类似事件再次发生。

值得注意的是,尽管 Meta 声称已修复漏洞,但部分用户报告称黑客活动仍在继续。Meta 已于本周初开始向受影响的用户发送密码重置通知。

关键要点

  • 受影响规模:Meta 确认至少有 20,225 个 Instagram 账号被入侵,事件持续数月(约从 4 月 17 日至本周)。
  • 技术根源:漏洞并非来自 AI 模型本身的“智能”,而是来自账户恢复系统的代码逻辑缺陷。AI 聊天机器人被错误地配置为接受用户提供的任意邮箱作为重置目标,而未进行严格的身份匹配验证。
  • 攻击条件:攻击主要针对**未开启双重验证(2FA)**的账号。如果账号开启了 2FA,仅凭密码重置可能不足以完全控制账户,但 Meta 的通知显示,一旦密码被重置,攻击者即可接管整个账号生态。
  • 数据泄露范围:攻击者获得了账号内的私信、帖子、个人资料、出生日期及联系方式等敏感信息,并可能通过账号关联访问其他 Meta 服务。
  • 公司回应:Meta 已暂时关闭该聊天机器人功能,并正在审查其平台上的其他 AI 聊天机器人以防止复发。
  • 背景反差:此次安全事件发生在 Meta 大规模裁员、同时向高管发放股票激励以及持续加大 AI 投入的背景下,凸显了在快速推进 AI 落地过程中安全验证机制的重要性。

意义与影响

1. AI 辅助系统的安全边界模糊化 此次事件揭示了将 AI 聊天机器人集成到关键身份验证流程中的潜在风险。尽管 Meta 强调 AI 工具本身“功能正常”,但人机交互界面(Chatbot)作为输入渠道,极易成为社会工程学攻击的入口。攻击者无需破解复杂的加密算法,只需利用自然语言交互的便利性,即可诱导系统执行非预期的操作。这提醒科技公司,在部署 AI 助手处理敏感操作(如密码重置)时,必须建立严格的人机交互安全护栏,确保 AI 不会绕过既定的身份验证逻辑。

2. 双重验证(2FA)的重要性再次凸显 虽然 Meta 指出漏洞存在于代码路径中,但攻击成功的前提是账号未开启双重验证。对于普通用户而言,此事件是一个强烈的警示:在社交媒体和关键数字身份中启用 2FA 是防止账号被劫持的最有效手段之一。即使后端系统存在漏洞,2FA 也能作为最后一道防线阻断攻击。

3. 企业透明度与危机公关 Meta 通过向监管机构提交正式通知函的方式公开此事,体现了数据泄露报告制度的强制性。然而,从 4 月漏洞存在到本周才完全修复并通知用户,长达数月的时间窗口引发了用户对 Meta 响应速度和内部安全监控能力的质疑。部分用户报告黑客活动仍在继续,进一步加剧了公众对平台安全能力的信任危机。

4. 对 AI 战略的潜在冲击 Meta 正全力押注 AI,但此次事件表明,AI 功能的快速迭代可能以牺牲安全性为代价。在裁员和成本削减的背景下,安全团队的资源是否充足、代码审查流程是否严谨,都受到了考验。如果此类因 AI 引入的安全事故频发,可能会阻碍企业级 AI 应用的信任建立,甚至引发更严格的监管审查。

相关推荐

查看原文 →this.weekinsecurity.com