AI 聊天机器人漏洞20225 个 Instagram 账户遭劫持Meta 在向缅因州提交的通知中确认黑客利用公司 AI 支持的聊天机器人控制了 20225 个 Instagram 账户。Bleeping Computer 最早发现了这份通知Meta 将此次攻击归咎于一个“漏洞”。此次攻击于 5 月 31 日首次出现Meta 传播负责人安迪·斯通称公司在 6 月 1 日“解决”了这一事件。期间多个知名 Instagram 账户受到影响包括美国前总统巴拉克·奥巴马的旧白宫账户、美国太空部队总军士长约翰·F·本蒂维尼亚以及丝芙兰Sephora的账户。密码重置漏洞绕过验证劫持账户该漏洞使得攻击者只需向聊天机器人请求重置密码就能劫持未开启双因素认证2FA的账户。工具本身运行正常但由于另一条代码路径存在漏洞系统未能正确验证请求重置密码者提供的电子邮件地址是否与该用户 Instagram 账户关联的邮箱一致。当有人提供与账户此前未关联的电子邮件地址时系统没有拒绝该请求而是错误地将密码重置链接发送到了这个未关联的邮箱使得未经授权的第三方能够收到他们并不拥有的账户的密码重置链接。数据泄露风险与应对措施Meta 在通知中表示目前“不清楚”此次攻击是否导致任何个人数据被获取但指出账户劫持者可能获取了电子邮件地址、电话号码、出生日期、社交媒体帖子、直接消息、个人资料信息、账户活动以及关联账户等信息。通知显示有 30 名受影响用户居住在缅因州不过 Meta 表示这是一个“上限”因为其中一些账户可能是被合法访问的。该公司指出已停用其 AI 支持工具移除了有问题的代码路径并使利用此次漏洞生成的所有密码重置链接失效。此外公司还将所有可能受影响的账户“纳入强制安全检查要求在访问账户前进行身份验证”。编辑观点Meta 此次安全事件暴露出代码验证环节的严重漏洞企业应加强安全审查避免类似因小漏洞引发的大规模账户劫持事件保障用户数据安全。