黑客可能利用Meta的AI聊天机器人劫持超过2万个Instagram账户

Meta公司向缅因州提交的一份通知中确认，黑客很可能利用其AI支持聊天机器人劫持了超过20,225个Instagram账户。该漏洞由Bleeping Computer首先发现，Meta将其归咎于一个“bug”。攻击者无需双因素认证，仅通过向聊天机器人请求密码重置即可接管账户。

Meta在通知中详细解释了这个漏洞的工作原理：工具本身运行正常且符合预期，但由于另一代码路径中的缺陷，系统未能正确验证请求密码重置的个人提供的电子邮件地址是否与该Instagram账户关联。因此，当个人提供之前未关联的电子邮件地址时，系统错误地将密码重置链接发送到该未关联邮箱，而未拒绝请求。这允许未经授权的第三方接收他们不拥有的账户的密码重置链接。

Meta表示，攻击首次出现于5月31日，Meta传播主管Andy Stone称公司于6月1日“解决”了该事件。在此期间，多个高知名度Instagram账户受到影响，包括前总统巴拉克·奥巴马的白宫旧账户、美国太空军高级军士长John F. Bentivegna以及化妆品零售商丝芙兰。这些账户的劫持引起了广泛关注，凸显了AI工具在安全方面的潜在风险。

Meta在通知中补充，尚不清楚是否有任何个人数据因该漏洞被访问，但指出账户劫持者可能获取了电子邮件地址、电话号码、出生日期、社交媒体帖子、私信、个人资料信息、账户活动及关联账户。这意味着受影响用户的隐私可能受到严重侵犯。

通知称，有30名受影响用户居住在缅因州。这一数字指的是“通过支持工具重置密码、未启用双因素认证且其Instagram账户可能被未经授权方访问的用户”——不过Meta表示这是“上限”，因为其中一些账户可能是合法访问。尽管如此，这一数字反映出漏洞的影响范围。

Meta称，已禁用其AI支持工具并移除有漏洞的代码路径，同时废除所有利用该漏洞生成的密码重置链接。公司还将所有可能受影响的账户纳入“强制安全检查，要求在访问账户前进行身份验证”。这一系列措施旨在防止类似事件再次发生，并保护用户账户安全。此次事件再次提醒我们，即使是最先进的AI技术，也可能因微小的代码缺陷而成为安全隐患。