新闻
News Today
Meta AI 逻辑漏洞致 Instagram 账号遭劫持,白宫及军方账号受影响
2026 年 6 月 1 日,据科技媒体 TechCrunch 报道,Meta 旗下 Instagram 平台爆发严重安全事件。攻击者利用 Meta AI 客服机器人的身份验证逻辑漏洞,在无需目标账号密码的情况下成功实施账号接管。
攻击原理:提示注入式逻辑欺骗
此次攻击的核心在于对 Meta AI 支持助手的逻辑滥用。攻击者通过 VPN 伪装成目标用户所在区域,向 AI 客服发出“账号找回”指令,要求绑定攻击者控制的新邮箱。由于缺乏充分的身份核验,AI 机器人直接将验证码发送至攻击者指定邮箱,使其得以重置密码并完全掌控账号。
该过程无需高超技术能力,本质属于“提示注入”攻击。攻击者未破解任何加密算法,而是通过自然语言诱导 AI 助手主动配合完成劫持操作。
受害范围:涉及高知名度官方及个人账号
目前已确认多个高影响力账号受害,包括奥巴马执政时期的白宫官方 Instagram 账号、美国太空军首席军士长 John Bentivegna 的个人账号,以及知名安全研究员 Jane Wong 的账号。
事件发酵后,Instagram 发言人 Andy Stone 于 6 月 1 日确认漏洞已修复。但截至发稿,Meta 尚未披露受影响账号的具体总量,也未说明是否已通知所有潜在受害者。
行业警示:AI 客服权限管理亟需升级
此事件凸显了 AI 客服大规模应用下的新型安全风险。当企业将账号管理、密码找回等高权限操作委托给 AI 时,若缺失严格的二次核验机制,AI 本身极易成为攻击入口。
企业安全团队应重点关注以下三点:
- AI 客服在执行权限变更操作时,是否强制启用多因素认证(MFA);
- 品牌官方账号是否配置了额外的管理员保护策略;
- 现有异常登录告警系统能否有效覆盖由 AI 辅助操作引发的权限变更行为。
目前,针对消费级平台 AI 助手的身份验证绕过攻击仍属新兴攻击面,相关防护规范尚待完善,值得业界持续关注。
来源:TechCrunch