黑客利用Meta为Instagram账户恢复设立的人工智能客服机器人中存在的漏洞,通过诱导机器人更改账户绑定的电子邮件地址,成功劫持Instagram账户,包括巴拉克·奥巴马白宫官方账号、美国太空军高级军士约翰·本蒂维格纳账号及丝芙兰账号等多个高知名度和认证账户 [1, 2, 3, 4, 5, 6, 7, 8, 9]。
攻击者使用VPN伪装成目标账户常用的地理位置,从而绕过Instagram的安全位置检查机制,配合利用漏洞进行密码重置,向黑客控制的邮箱发送验证码,重置账户密码,无需原邮箱访问权限即可完成账户接管 [1, 2, 3, 4, 10, 6, 7, 8, 9]。
据安全研究人员披露,该漏洞早在2026年2月或3月期间就已在黑客和安全社区中被讨论和利用,Meta在3月全球推出该AI支持助手后被攻击者大规模利用。漏洞于5月29日至31日期间被Meta紧急修补,但黑客随后仍在Telegram上传播利用方法视频和指南 [3, 11, 2, 4]。
知名安全研究员Jane Manchun Wong称,“密码在我不知情情况下被篡改,昨天持续收到不同密码重置尝试,令人十分担忧” [1]。而Meta发言人Andy Stone表示,“该问题现已解决,我们正在保护受影响账户” [1, 6]。
专家指出,Meta的AI客服缺乏严格身份验证和人工审核,导致机器人在接到修改邮箱请求时没有足够检查。网络安全专家Jake Moore评论说,社交平台过于专注AI创新,忽视账户安全,给黑客可乘之机。Hacker Minded创办人Tom Van de Wiele称,Meta未对AI的权限设限,导致AI能自由更改账户关键资料。Surfshark首席安全官Tomas Stamulis形容该AI助手如同“经验不足的员工”,缺乏阻止异常行为的能力 [10, 5, 7, 8, 9]。
据报道,被劫账户中,奥巴马白宫账号自2017年起未活跃,曾一度被注入亲伊朗图文内容。被劫账号的短用户名在灰色市场价值过50万美元 [1, 2, 3, 5, 6, 7, 8, 9]。
Meta尚未公布受影响账户数量。官方确认为5月底进行修补并采取措施加固安全。6月初相关事件得到媒体广泛关注,受害者纷纷分享经历,部分人称仍有攻击尝试存在 [12, 5, 6, 9]。
