Meta AI 聊天机器人导致 Instagram 账号劫持

关键信息

据称攻击者先使用 VPN 伪装成目标账号所在地区，再发起密码重置，然后要求 Meta 的 AI 助手更新绑定邮箱，从而让八位确认码和重置链接发送到攻击者控制的邮箱。研究人员还称，当自动身份验证介入时，攻击者会把受害者公开的 Instagram 照片交给 AI 视频生成器，制作出足以骗过验证系统的自拍短视频。

资讯摘要

据报道，黑客利用 Meta 的 AI 支持聊天机器人接管了多个知名 Instagram 账号，而这个机器人本身被赋予了修改账户绑定邮箱的权限。攻击者一旦把邮箱改成自己的，就能发起密码重置，从而事实上绕过双重验证。受害者包括奥巴马白宫账号、美国太空军首席军士长账号，以及化妆品零售商 Sephora。研究人员 ZachXBT 和 Dark Web Informer 公开记录了这次事件，并指出部分被盗的短用户名合计市值超过 100 万美元。这些极具价值的短用户名据称在 Telegram 上被迅速转卖。报道还称，攻击者会先使用 VPN 让自己的位置看起来与目标账号所在地区一致，然后用自然语言要求 AI 助手把新的邮箱绑定到账号上。如果 Meta 的自动身份验证出现，攻击者还会把受害者公开的 Instagram 照片输入 AI 视频生成器，制作逼真的自拍短视频来骗过验证系统。

The CyberSec Guru 将这一问题描述为典型的“confused deputy”攻击，也就是一个拥有更高权限的辅助系统被攻击者诱导为其执行操作。这个问题也被视为一种具有高代价后果的 prompt injection，因为语言模型很难可靠地区分正常请求和恶意指令。Meta 在 3 月宣布为 Facebook 和 Instagram 全部账户推出 AI 支持，功能包括密码重置和安全维护，并将其宣传为对抗账号接管的防线。结果，这个客服机器人反而成了攻击入口。Meta 在 5 月 29 日周五发布了紧急修复，关闭了可修改邮箱绑定和密码重置的脆弱 AI 流程，并在随后向 404 Media 确认问题已得到解决。报道指出，Meta 处理掉的是一个变体，但把 AI 系统赋予可执行账户关键操作的更大风险仍然存在。

资讯正文

黑客仅仅通过让 Meta 的 AI 聊天机器人更改邮箱，就劫持了多个高知名度的 Instagram 账号

黑客通过让 Meta 的 AI 支持聊天机器人替换账户中登记的电子邮件地址，接管了多个知名 Instagram 账号。双重身份验证被完全绕过。受害目标包括奥巴马白宫账号、美国太空军首席军士长以及美妆连锁品牌 Sephora。

一些抢手的短用户名也在几分钟内被转手，并在 Telegram 上再次出售。这些 OG handle——由几个字母或常见单词组成的用户名——在灰色市场上往往能卖到六位数。追踪加密货币犯罪和地下市场的研究人员 ZachXBT 和 Dark Web Informer 公开记录了这次事件的后续影响。据报道，其中两个被入侵的用户名合计市场价值超过 100 万美元。

这种方法出人意料地简单。攻击者先打开 VPN，让自己看起来位于目标账号所在的地理区域，然后发起密码重置，接着告诉 AI 支持助手更新该账号的电子邮件地址，并承诺会立刻发送确认代码。随后，机器人把一个 8 位确认代码发送到攻击者的邮箱，紧接着又发出密码重置链接。根据 The CyberSec Guru 的说法，在 Meta 的自动身份验证机制介入时，攻击者会把受害者公开的 Instagram 照片输入 AI 视频生成器，从而绕过这一步。这样生成的自拍视频看起来足够逼真，骗过了自动安全检查。

教科书式的“困惑副手”攻击

The CyberSec Guru 将这一事件称作 IT 安全领域一个众所周知问题的教科书式案例：困惑副手（confused deputy）。一个辅助系统拥有比实际用户更高的权限，而攻击者诱使它代表自己行使这些权限。AI 助手被允许更改邮箱地址和重置密码，而普通 Instagram 用户无法直接触发这些操作。任何只要礼貌地向机器人提出请求的人，都会在甚至尚未登录的情况下让这些操作被执行。

从本质上说，这是一种提示注入（prompt injection），只是后果特别昂贵。语言模型无法可靠地区分无害的用户请求和恶意指令，因为二者本质上都只是文本。The CyberSec Guru 将其与 SQL 注入作比较，后者同样是把输入误读为命令。不同之处在于，SQL 可以通过明确规则加以锁定；而语言模型并不存在数据与指令之间清晰的分界。

因此，对于像密码重置这类不可逆操作，本应存在一个强制性的、不可协商的检查，例如向原始登记邮箱发送确认，或者向已经验证过的设备推送通知。但在 AI 能调用的 API 路径中，这一保护措施并不存在。

当客服不再是人类的时候

Meta 于 3 月宣布，正在为所有 Facebook 和 Instagram 账户推出 AI 支持，其中包括密码重置和与安全相关的维护功能。根据 404 Media 的报道，在产品页面上，Meta 提供的是解决方案而不是建议，并附带账户安全与恢复功能。Meta 还在一篇博客文章中明确将这款 AI 作为防范账户接管的手段，称它会检测可疑的地点变更和密码更换。结果，它反而成了入侵的入口。

受影响的用户告诉 404 Media，他们无法通过常规支持渠道联系到真人。任何想正式申诉被盗账户的人，最终都会进入 Meta 的人工审核流程，而 The CyberSec Guru 称这一流程需要数天，而不是几分钟。等到账户被恢复时，它已经在 Telegram 上被转卖了。

补丁修复了一个变体，但没有解决问题

这波针对高知名度账户的接管行动始于 5 月 29 日星期五。Meta 在当天晚上发布了紧急热修复，禁用了那些对邮箱绑定和密码重置具有写入权限的易受攻击 AI 流程。该公司于周一在给 404 Media 的声明中公开确认了这项修复，称问题已经解决，受影响的账户正在被加固。但据 The CyberSec Guru 说，底层方法在过去几个月里一直在悄悄生效。相关 Telegram 频道中的首次提及可追溯到 3 月底。

Meta 对将这一事件定性为数据泄露表示反驳。该公司称，其自身系统并未遭到入侵，用户的 Instagram 账户也是安全的。The CyberSec Guru 反驳说，虽然从技术上讲这话没错，但对结果的影响并不大。对于一个一夜之间失去珍贵短用户名的用户来说，完好无损的数据库和被盗的账户之间的差别，在学术上毫无意义。任何能够在大规模上实现账户接管的逻辑层漏洞，即便没有触及任何数据库记录，也确实构成了对信任的严重破坏。

不过，CyberSec Guru 还报告了另一种可能的利用方式，在本文发布时仍未修补，而且已经在 Telegram 上传播。这种方法 apparently 通过 Facebook 的恢复流程运作。攻击者据称会让 Meta AI 启动所谓的开发模式，然后在请求中附上据称是账户被入侵的证据，以及一个电子邮件地址。

来源与参考

1. 原始链接
2. Hackers hijacked high-profile Instagram accounts by simply asking Meta's AI chatbot to change the email