Meta 日前承認其 AI 支援助理存在嚴重安全漏洞,讓駭客透過簡單對話操縱系統更改帳戶恢復電郵並重設密碼,導致大量 Instagram 帳戶被劫持。據美國緬因州檢察長辦公室收到的資料外洩通知,事件影響超過 20,225 個帳戶,包括部分高知名度帳戶。Meta 已快速修復問題,並正加強受影響用戶的安全措施。
事件於 4 月 17 日開始發生,Meta 於 5 月 31 日發現漏洞。駭客利用 Meta 的 AI 客服工具(High Touch Support),繞過正常驗證程序,要求將目標帳戶連結至攻擊者控制的電郵地址。AI 系統未正確比對電郵擁有權,便發送密碼重設連結,允許未經授權者登入(尤其未啟用雙重驗證的帳戶)。注目的案例包括前白宮相關帳戶及品牌頁面被短暫劫持,凸顯 AI 自動化支援在處理敏感操作時的風險。
Meta 官方聲明指出:「該工具本身按設計運作正常,但另一獨立程式碼路徑存在錯誤,導致系統未正確驗證密碼重設請求中提供的電郵是否與帳戶關聯。」公司強調這並非 AI 代理本身問題,而是後端驗證失效。發言人 Andy Stone 在 X 上表示:「此問題已解決,我們正保護受影響帳戶。」Meta 當天即停用相關 AI 工具、移除漏洞程式碼,並使現有重設連結失效。用戶將於 6 月 19 日左右收到正式通知。
修復工作已完成,主要漏洞於發現當日處理完畢。公司正進行全面審核,檢查 Meta 平台其他帳戶恢復流程,並強化驗證機制。受影響用戶帳戶已被重新保護,Meta 建議立即重設密碼並啟用額外安全層。
即使你的 Instagram 帳戶沒有受今次事件影響,大家也應該加強帳戶保安,立即採取以下措施可以減低帳戶被騎劫的風險:
- 啟用雙重驗證(2FA):優先使用驗證器 App 或硬體金鑰,避免僅依賴 SMS。
- 定期檢查登入活動:在設定中檢視近期登入裝置及可疑活動,立即登出未知裝置。
- 保護恢復選項:確保帳戶綁定的電郵及手機號碼為本人所有,並定期更新。
- 避免可疑支援互動:勿透過非官方渠道提供帳戶資訊,對 AI 客服請求保持警惕。
- 監控通知:留意 Meta 發送的任何安全警報,並使用強密碼管理器生成獨特密碼。
Meta 近期多次裁員,利用 AI 來節省人力成本,但此事件突顯 AI 部署於客服領域的挑戰,一旦 AI 未有好好把關,用戶可能無辜受害。專家呼籲平台應實施更嚴格的人類監督及多層驗證,防止類似漏洞重演。
