Meta确认数千Instagram账户因AI聊天机器人漏洞被黑

Meta近日向数千名用户发出通知，告知他们的Instagram账户在长达数月的AI聊天机器人漏洞利用中遭到黑客劫持。根据提交给缅因州总检察长办公室的数据泄露通知，至少20,225个账户受到影响，其中包括缅因州的30名用户。这一数字首次揭示了此黑客攻击活动的规模和时间跨度。

此次安全事件源于Meta为Instagram设计的AI辅助账户恢复系统。黑客发现该系统存在一个漏洞，能够诱使AI聊天机器人将密码重置链接发送到攻击者控制的邮箱地址，而非账户持有人的邮箱。Meta在通知中解释称：“该工具本身运行正常，但由于单独代码路径中的错误，系统未能正确验证请求密码重置的用户提供的邮箱地址是否与该Instagram账户关联。”因此，当攻击者提供一个未关联的邮箱时，系统错误地发送了密码重置链接。

一旦黑客获得密码重置链接，他们就可以更改受害者的密码并完全接管账户。这包括访问联系信息、出生日期、个人资料信息，以及查看帖子、直接消息和账户活动。Meta表示，目前“不清楚”在入侵过程中是否有任何个人信息被访问，但已要求受影响用户重置密码并通过安全渠道重新验证身份。

攻击始于4月17日左右，一直持续到本周Meta修复漏洞为止。Meta已暂时禁用该AI聊天机器人，并移除了允许聊天机器人重置用户账户的代码路径。同时，Meta正在检查其平台上的其他聊天机器人，以防止类似事件再次发生。值得注意的是，Meta近期在裁员数千人的同时，通过股票激励奖励高管，并持续加大对AI的投入。目前尚无证据表明黑客访问了敏感数据，但Meta建议用户启用双因素认证以增强账户安全。此事件提醒我们，AI系统的安全性需要持续关注和改进。