Meta披露Instagram AI恢复流程漏洞

关键信息

根据Meta的数据泄露通知，这次攻击持续了将近七周，大约从4月17日开始，并于5月31日被发现。Meta表示，20,225这个数字只是上限，因为部分访问尝试可能来自合法账户持有人；公司已停用该聊天机器人、使受影响的重置链接失效，并要求受影响用户强制重置密码。

资讯摘要

Meta首次披露了与Instagram AI客服聊天机器人和账号恢复流程漏洞相关的具体受影响规模。根据提交给缅因州总检察长办公室的通知，至少有20,225个Instagram账户在此次事件中被攻陷，其中包括缅因州的30个账户。该攻击活动持续了将近七周，大约从4月17日开始，直到5月31日才被发现。攻击者滥用了Meta的AI支持工具“High Touch Support”，该工具原本用于帮助被锁定的用户恢复账号访问。问题出在另一段代码路径上：系统在恢复过程中没有验证用户输入的电子邮件地址是否真的属于该Instagram账户。

由于这个缺陷，密码重置链接可以被发送到任意未验证的邮箱，从而导致账户接管。Meta表示，20,225这个数字应视为上限，因为有些请求可能来自合法账户持有人。公司还称，可能被访问的数据包括联系方式、出生日期、帖子、私信、账户活动、个人资料信息以及关联服务，但目前并不知道哪些信息 वास्तव् वास्तव际被查看。作为应对，Meta已停用该聊天机器人，移除有问题的代码路径，使所有被操纵的重置链接失效，并要求受影响用户通过受验证渠道完成安全检查和密码重置。在重新启用该工具之前，Meta计划修复恢复流程中的邮箱验证步骤，并审计其旗下平台上的类似账号恢复系统。

资讯正文

Instagram AI 聊天机器人漏洞可能影响了超过 20,000 个账户，Meta 予以披露

要点

- Meta 的 AI 支持聊天机器人存在一个漏洞，导致多达 20,225 个 Instagram 账户在七周内被入侵。

- 一个有缺陷的恢复工具让黑客可以向任意未经验证的电子邮件地址发送密码重置链接。

- Meta 已禁用该聊天机器人，使被篡改的链接失效，并强制受影响用户立即重置密码。

在一份官方数据泄露通知中，Meta 首次就其 AI 支持聊天机器人中这一已知漏洞的影响范围给出了具体数字。这场黑客行动持续了将近七周。

Meta 已向缅因州总检察长办公室提交数据泄露通知，其中首次披露了针对 Instagram 账户的黑客行动的具体数量。至少有 20,225 个账户遭到入侵，其中包括缅因州的 30 个账户。

黑客利用 Meta 面向 Instagram 的 AI 驱动支持聊天机器人，数月来入侵他人账户。该聊天机器人是一款名为“High Touch Support”的账户恢复工具，旨在帮助被锁定在外的用户重新获得访问权限。但在另一条代码路径中存在一个漏洞，这意味着系统从未检查所提供的电子邮件地址是否 वास्तव действительно属于相关的 Instagram 账户。

根据这份通知，攻击大约始于 2026 年 4 月 17 日，直到 5 月 31 日才被发现。攻击者利用了 AI 驱动的“High Touch Support”恢复系统中这一早已已知的漏洞，向任何电子邮件地址发送密码重置链接，而不验证该地址是否属于该账户。

Meta 将 20,225 这一数字称为上限，因为部分访问尝试可能来自合法账户持有人。Meta 表示，潜在可访问的数据包括联系信息、出生日期、帖子、私信、账户活动、个人资料信息以及关联服务。该公司称，不知道哪些信息实际上被查看过。Thisweekinsecurity 率先报道了这份通知。

Meta 禁用聊天机器人并审计所有平台

作为立即响应，Meta 禁用了这款 AI 聊天机器人，移除了有缺陷的代码路径，并使通过该系统生成的所有密码重置链接失效。受影响用户被置入强制性的安全检查流程，并被要求通过经过验证的渠道重置密码。

在重新启用该工具之前，Meta 计划修复恢复流程中的电子邮件验证步骤，并审计其所有平台上类似的账户恢复系统。这起事件发生之际，Meta 在大规模裁员数千人的同时，正重金押注 AI。此前，Meta 曾将这款 AI 支持聊天机器人宣传为提升账户安全性的成果。

来源与参考

1. 原始链接
2. Instagram AI chatbot breach may have affected over to 20,000 accounts, Meta discloses