Meta确认：数千个Instagram账户因AI聊天机器人漏洞被盗

Meta修复漏洞数千Instagram账户被盗2026年6月6日消息Meta修复了一个漏洞该漏洞曾使任何人都能诱骗其Meta AI聊天机器人重置未开启双因素认证的Instagram账户密码。Meta正在通知数千名用户他们的Instagram账户在长达数月的公司AI聊天机器人滥用事件中被劫持黑客多次诱骗该聊天机器人从而控制了用户的账户。攻击规模与影响曝光在一份新的数据泄露通知信中Meta首次披露了在这场长期黑客攻击活动中有多少人的账户被劫持。该活动于本周早些时候被发现404 Media和TechCrunch率先进行了报道。根据周五晚些时候提交给缅因州总检察长办公室的数据泄露通知Meta通知了至少20225人他们的账户已被入侵其中包括缅因州的30人。此次入侵使黑客能够接管用户的整个Instagram账户以及任何关联账户获取用户的联系信息、出生日期和个人资料信息还能访问用户的帖子、直接消息和账户活动。漏洞利用方式揭秘Meta的通知证实此次数据泄露与 “Instagram的AI辅助账户恢复系统中的一个漏洞” 有关该漏洞被利用来 “对Instagram用户账户进行密码重置”。黑客利用了Meta聊天机器人的一个缺陷该缺陷使任何人都能重置未开启双因素认证的账户密码。黑客只需向聊天机器人提出请求就能诱使它将验证码发送到黑客控制的电子邮件地址而不是账户持有者在档案中登记的电子邮件地址聊天机器人也会照做。Meta回应与措施Meta在数据泄露通知中表示“该工具本身运行正常按预期工作然而由于另一个代码路径中的漏洞系统未能正确验证请求重置密码的人提供的电子邮件地址是否与该用户Instagram账户关联的电子邮件地址匹配。” 该公司补充道“因此当有人提供一个与账户之前未关联的电子邮件地址时系统错误地将密码重置链接发送到了该未关联的电子邮件地址而不是拒绝该请求。这使得未经授权的第三方能够收到他们并不拥有的账户的密码重置链接。” Meta称此时黑客可以重置某人的密码并像合法所有者一样接管他们的账户。后续处理与未知问题Meta表示“不清楚” 在此次黑客攻击中是否有个人信息被访问。根据缅因州的记录此次黑客攻击大约从4月17日开始一直持续到本周Meta称已对聊天机器人进行了安全加固。据报道Instagram本周早些时候开始通过发送密码重置通知来通知受影响的用户尽管有人报告称黑客攻击仍在继续。Meta在通知中还确认已提醒用户保护好自己的账户称 “已指示受影响的用户重置密码并通过安全、经过验证的渠道重新进行身份验证”。Meta表示目前已停用该AI聊天机器人并移除了允许聊天机器人重置用户账户的代码路径。此外该公司还在检查其平台上的其他聊天机器人以防止类似事件再次发生。目前尚不清楚是什么情况导致聊天机器人被滥用但就在不久前Meta解雇了数千名员工同时用股票激励奖励高层管理人员而该公司仍在大力投入AI领域。那么Meta能否彻底杜绝此类安全问题的再次发生呢