北京
Instagram用戶可能會突然發現自己被強制登出,郵箱里收到一封密碼重置成功通知,而你從未進行過任何操作。這不是撞庫,沒有異地登錄,攻擊者甚至不需要知道你的密碼,就能接管你的賬號。
安全研究人員ZachXBT和Dark Web Informer率先公開了這一漏洞的細節。他們發現,攻擊者找到了一條危險的捷徑——直接操縱Instagram內置的Meta AI助手。這套AI工具原本用于幫助用戶恢復賬號訪問權限,如今卻成了劫持高價值賬號的入口。
攻擊者通過與AI聊天機器人對話,以誘導方式讓機器人將密碼重置代碼直接轉交給未授權方,全程繞過了身份驗證。漏洞的根源并不在傳統意義的服務器入侵,而是AI在處理恢復請求時缺乏充分的頻次限制和身份認證執行。Meta隨后確認,后端系統并未被攻破,問題出在AI做出重置動作之前的管控缺失。
ZachXBT和Dark Web Informer的揭露,將關注點從服務器日志轉向了更隱蔽的風險層面:當AI代理被賦予直接操作敏感賬戶權限,而對話決策又缺乏足夠的約束時,僅僅知道一個目標用戶名,就幾乎等同于拿到了重置鑰匙。
此次漏洞的利用帶有明確的商業意圖。攻擊者專門挑選用戶名極短、辨識度極高的“精品”賬號下手,例如@hey和@jowo。這類短字符用戶名在暗網具有驚人的轉售價值,部分賬號組合的估值超過100萬美元。它們被當作稀缺的數字標識物,像域名一樣在地下市場流通。
Dark Web Informer實時追蹤了被盜賬號在Telegram群組中上架和轉手的全過程。剛剛被劫持的賬號幾乎在幾分鐘內就被掛出售賣,買家通過私密頻道快速完成交割。這種速度反映出圍繞社交媒體賬號的“接管即服務”生態已高度自動化:有人負責尋找漏洞,有人專門執行劫持,下游轉售網絡則快速變現。
在這個鏈條中,AI漏洞成為最新的加速器。相比以往需要社工庫、撞庫或釣魚獲取憑證的復雜操作,直接繞過驗證讓重置代碼落到攻擊者手中,大幅降低了接管成本。只要用戶名已知,攻擊者就可以反復嘗試直至得手,用戶看到的只是一封封未曾申請的密碼重置郵件。
Meta在漏洞被曝光后的上周五晚間緊急發布補丁。公司在正式聲明中表示:“我們修復了一個允許外部方為部分Instagram用戶請求密碼重置郵件的問題。我們的系統并未遭到入侵,用戶的Instagram賬號仍然安全。”該措辭刻意將事件定性為“外部方請求重置郵件”,而非系統被攻破。
盡管補丁來得及時,這起事件仍然掀開了AI輔助支持工具安全架構的一角。重置密碼、恢復賬號等敏感操作原本應有多層驗證環繞,卻因AI助手的介入而變得過于通路化。一旦對話模型在權限邊界上做出錯誤判斷,受保護的重置流程就會暴露為一個開放接口。
值得警惕的是,此次攻擊未能突破那些已經開啟雙重認證的賬號。安全專家據此反復強調,雙重認證不應被視為可有可無的選項,它很可能就是用戶在類似事件中的最后一道防線。使用基于應用的一次性密碼工具,為Instagram綁定專屬且不公開的郵箱,杜絕密碼復用并借助密碼管理器,定期檢查登錄活動,以及將備用恢復碼離線保存——這些措施在當前環境中顯得尤為關鍵。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
