Meta確認數千Instagram賬户因AI聊天機器人漏洞被黑

Meta近日向數千名用户發出通知，告知他們的Instagram賬户在長達數月的AI聊天機器人漏洞利用中遭到黑客劫持。根據提交給緬因州總檢察長辦公室的數據泄露通知，至少20,225個賬户受到影響，其中包括緬因州的30名用户。這一數字首次揭示了此黑客攻擊活動的規模和時間跨度。

此次安全事件源於Meta為Instagram設計的AI輔助賬户恢復系統。黑客發現該系統存在一個漏洞，能夠誘使AI聊天機器人將密碼重置鏈接發送到攻擊者控制的郵箱地址，而非賬户持有人的郵箱。Meta在通知中解釋稱：“該工具本身運行正常，但由於單獨代碼路徑中的錯誤，系統未能正確驗證請求密碼重置的用户提供的郵箱地址是否與該Instagram賬户關聯。”因此，當攻擊者提供一個未關聯的郵箱時，系統錯誤地發送了密碼重置鏈接。

一旦黑客獲得密碼重置鏈接，他們就可以更改受害者的密碼並完全接管賬户。這包括訪問聯繫信息、出生日期、個人資料信息，以及查看帖子、直接消息和賬户活動。Meta表示，目前“不清楚”在入侵過程中是否有任何個人信息被訪問，但已要求受影響用户重置密碼並通過安全渠道重新驗證身份。

攻擊始於4月17日左右，一直持續到本週Meta修復漏洞為止。Meta已暫時禁用該AI聊天機器人，並移除了允許聊天機器人重置用户賬户的代碼路徑。同時，Meta正在檢查其平台上的其他聊天機器人，以防止類似事件再次發生。值得注意的是，Meta近期在裁員數千人的同時，通過股票激勵獎勵高管，並持續加大對AI的投入。目前尚無證據表明黑客訪問了敏感數據，但Meta建議用户啓用雙因素認證以增強賬户安全。此事件提醒我們，AI系統的安全性需要持續關注和改進。