黑客利用Meta的AI支持机器人劫持Instagram账户

<p>上周末，<strong>Instagram</strong>上奥巴马白宫和美国太空军首席军士长等账户被短暂篡改，出现了亲伊朗的图像和信息。此前，Telegram上开始流传如何利用Meta的“AI支持助手”机器人重置账户密码的教程。</p> <div id="attachment_73755" style="width: 721px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73755" decoding="async" class=" wp-image-73755" src="https://krebsonsecurity.com/wp-content/uploads/2026/06/metasupportbot.png" alt="" width="711" height="650" /><p id="caption-attachment-73755" class="wp-caption-text">Telegram上发布的视频截图，声称展示了如何利用Meta的AI客户支持机器人重置目标密码。</p></div> <p>5月31日，多个Telegram即时消息频道开始流传消息：Meta的AI机器人会在标准密码重置流程中欣然将一个邮箱地址添加到现有账户中。</p> <p>亲伊朗黑客在Telegram上发布的一段视频声称记录了一个极其简单的利用方法：使用目标常驻地点或附近IP地址的VPN连接，请求重置该账户密码，然后选择与Meta的AI支持助手聊天。视频显示，攻击者告诉机器人将该账户关联到一个新的邮箱地址，随后机器人便忠实地向该地址发送了一次性验证码，从而允许密码重置。</p> <p>发布该视频的Telegram账户还链接了篡改被黑Instagram账户的亲伊朗图片、视频和消息的截图，称黑客利用该漏洞劫持了一批有价值的（即短字符）Instagram用户名，据称这些用户名的转售价值超过50万美元。</p> <p>Meta尚未回应针对视频内容的置评请求，但据报道该公司确实承认奥巴马白宫的休眠Instagram账户被短暂入侵。安全博客thecybersecguru.com<a href="https://thecybersecguru.com/news/instagram-meta-ai-vulnerability-account-recovery-exploit/" target="_blank" rel="noopener">报道</a>称，Meta已于上周末推送了紧急补丁，并澄清没有后端数据库被入侵。<span id="more-73751"></span></p> <p>“Instagram的人工支持基础设施向来糟糕，”Cybersecguru写道。“恢复一个被锁定的账户——尤其是一个高价值账户——可能需要数周时间与自动工单系统反复沟通。Meta的解决方案是部署一个对话式AI层来处理常见的恢复流程：重新关联丢失的邮箱地址、触发密码重置、验证账户所有权。这个助手本应是为了减少合法用户在账户访问困境中的摩擦。”</p> <p><strong>Ian Goldin</strong>，Lumen公司<strong>Black Lotus Labs</strong>的安全研究员表示，随着更多大型在线平台开始允许AI聊天机器人处理敏感的账户恢复请求，我们正在进入未知的安全领域。他表示，就像人类客服人员可能被社会工程学手段诱导提供未经授权的账户访问权限一样，AI机器人同样乐于助人，也容易受到说服和欺骗。</p> <p>“AI聊天机器人创造了有趣的新攻击面，我们很可能会看到更多此类攻击，”Goldin说。</p> <p>保护你的各种在线账户，意味着要充分利用最安全形式的多因素认证（MFA）（如通行密钥或安全密钥）。在这种情况下，即使使用Instagram提供的最不安全的MFA形式——通过短信发送的一次性验证码——也可能阻止该漏洞：在Telegram上发布视频的黑客表示，他们的利用方法对任何启用MFA的账户都无效。</p>