Meta确认,Instagram一个AI辅助账号找回系统出了漏洞。
攻击者可以诱导聊天机器人,把验证码或密码重置链接发到并非账号绑定的邮箱。拿到重置入口后,就可能改掉密码,接管账号。
这件事的数字来自Meta向美国缅因州总检察长办公室提交的数据泄露通知:至少20,225名用户被通知受影响,其中缅因州30人。
我更在意的不是“AI客服答错了”。真正反常的是,账号找回这种高权限流程,竟然有一条路径没有确认邮箱和账号是否绑定。门锁没坏,备用钥匙发错了人。
漏洞怎么发生:AI流程接到了密码重置权限
Meta在通知中提到,漏洞涉及Instagram的AI-assisted account recovery system,也就是AI辅助账号找回系统。这个系统可被用于执行密码重置。
问题出在一条单独代码路径。Meta称,工具本身按设计运行,但这条路径没有正确验证请求人提供的邮箱,是否与对应Instagram账号绑定。
这就给了攻击者空间。只要目标账号没有开启双因素认证等保护,攻击者就可能让系统把验证码或重置链接发到自己控制的邮箱。
链路很短:
| 环节 | 正常应该做什么 | 这次暴露的问题 |
|---|---|---|
| 账号找回 | 确认请求人与账号有关 | 单独代码路径未正确校验邮箱绑定关系 |
| 重置信息发送 | 发到账号绑定邮箱或可信渠道 | 可被诱导发到攻击者控制的邮箱 |
| 密码重置 | 账号本人取回控制权 | 攻击者可能重置密码并接管账号 |
| 防护条件 | 2FA可增加拦截 | 未开启双因素认证的账号风险更高 |
这里不能简单写成AI模型“主动越权”。目前能看到的更像工程权限问题:AI聊天机器人站在前台,后台却给了它一条能触发账号重置的路,而且校验没卡住。
这比普通客服答错话严重得多。普通问答错了,损失多半是体验;账号恢复错了,丢的是控制权。
谁最受影响:普通用户丢隐私,运营账号丢入口
被接管后,攻击者可能访问Instagram及关联账号、联系方式、生日、资料信息、帖子、私信和账号活动。
但边界要说清。Meta目前称,尚不清楚哪些个人信息实际被访问。也就是说,“可能访问”不能写成“已经读取了所有私信”。
对普通用户来说,最现实的风险是隐私、联系人和历史内容暴露。很多人把Instagram当相册、社交通讯录和登录入口。账号一丢,麻烦不会只停在换密码。
对创作者、商家和品牌账号,损失更具体。粉丝关系、广告投放、客户私信、交易线索,都可能被卡住。一个账号被拿走,等于门店钥匙、客服台和公告栏一起丢。
这两类人现在能做的事很直接:
- 开启Instagram双因素认证,优先用认证器App或安全密钥;
- 检查绑定邮箱和手机号,删掉不用或不认识的恢复渠道;
- 查看近期登录设备、账号活动和关联账号权限;
- 商家和创作者账号应把后台管理员权限重新过一遍,减少共用账号;
- 如果收到Meta通知,尽快改密码,并检查私信、资料、广告账户和关联平台是否有异常。
现实限制也要承认。普通用户很难判断攻击者到底看过什么,很多平台日志也不会把每一次数据读取都清楚展示给用户。所以补救动作的重点,是先把账号控制权和恢复渠道拿回来,再看是否有异常外发、诈骗私信或资料改动。
Meta已经切断路径,但还欠几个关键答案
Meta称,已经停用相关AI聊天机器人,移除了允许聊天机器人重置用户账号的代码路径,并检查旗下其他平台的聊天机器人,避免类似问题复现。
这个处理方向是对的。高权限路径先断开,再查同类组件。对账号恢复系统来说,宁可慢一点,也不能把身份校验交给一条没审透的自动化分支。
已知时间线上,公开通知显示事件从4月中旬延续到本周。至少20,225人被通知受影响。这个数字不能当成全球最终上限,只能说是目前披露的通知人数或至少受影响人数。
接下来最该看四件事:
| 问题 | 为什么重要 |
|---|---|
| 哪些账号类型更容易中招 | 决定是随机滥用,还是针对高价值账号 |
| Meta能否确认私信、联系方式等数据是否被打开 | 决定用户是否需要进一步做隐私补救 |
| 其他Meta平台是否存在类似AI客服权限路径 | 决定这是不是单点漏洞,还是治理缺口 |
| 账号恢复流程以后如何限制AI介入 | 决定自动化客服能不能继续碰高权限操作 |
这件事给AI客服提了一个很硬的限制:能回答问题,不等于能拿到重置钥匙。
企业把AI接进客服、申诉、找回账号,是为了降成本、提效率,这个动机不难理解。用户也确实不想排队等人工。
但账号恢复不是普通售后。它判断的是“谁有权成为账号本人”。这个判断一旦错了,效率越高,攻击扩散越快。
所以这次事故的主线很清楚:AI不是天然危险,危险在于企业把AI接进高权限流程时,没有把权限边界、异常路径和安全审计一起补上。小洞不补,最终补的是用户的账号和信任。