06 Jun 2026 4 min read 文章 Meta 确认数千个 Instagram 账户因滥用其 AI 聊天机器人而被黑客入侵 Meta 修复了一个漏洞,该漏洞允许任何人利用其 Meta AI 聊天机器人,在没有开启双重认证的 Instagram 账户上重置密码。图片来源:Zulfugar Karimov / Unsplash Meta 正在通知数千名 Instagram 账户被劫持的用户,这些劫持事件发生在该公司 AI 聊天机器人被滥用的数月期间,黑客反复利用该机器人控制他人账户。在本周安全领域看到的一封新的数据泄露通知信中,Meta 首次披露了有多少人的账户在这场长期黑客攻击活动中被劫持。该活动于本周早些时候被发现,并首先由 404 Media 和 TechCrunch 报道。受影响账户的数量在一定程度上揭示了这场黑客攻击活动的广泛程度及其持续的时间。根据上周五晚些时候提交给缅因州总检察长办公室的数据泄露通知,Meta 已通知至少 20,225 人其账户已被入侵,其中包括 30 名缅因州居民。通知称,这些入侵行为使黑客能够接管受害者的整个 Instagram 账户及任何关联账户,包括获取联系方式、出生日期和个人资料信息,以及访问受害者的帖子、私信和账户活动的能力。Meta 的通知确认,此次泄露与“Instagram 的 AI 辅助账户恢复系统中的一个漏洞”有关,该漏洞被利用来“对 Instagram 用户账户执行密码重置”。图片来源:@oracles / X 正如之前报道的那样,黑客滥用了 Meta 聊天机器人的一个缺陷,该缺陷允许任何人重置任何未开启双重认证的账户的密码。这个漏洞诱使聊天机器人将验证码发送到黑客控制的电子邮件地址,而不是账户持有人存档的电子邮件地址,只需通过请求即可实现。聊天机器人照做了。Meta 在其泄露通知中表示:“该工具本身运行正常,功能符合预期;然而,由于另一个代码路径中的漏洞,系统未能正确验证请求密码重置的个人提供的电子邮件地址是否与该用户的 Instagram 账户关联的电子邮件地址匹配。”该公司补充道:“因此,当个人提供一个之前未与该账户关联的电子邮件地址时,系统错误地将密码重置链接发送到了该未关联的邮箱,而不是拒绝该请求。这使得未经授权的第三方能够收到他们并不拥有的账户的密码重置链接。”Meta 表示,此时黑客可以重置某人的密码,并像合法所有者一样接管其账户。请支持本通讯!~本周安全~ 是我每周的网络安全通讯,由像您这样的读者支持。请考虑订阅付费服务,每月 10 美元起,获取独家文章、分析等更多内容。或者,您也可以一次性打赏以表示支持!订阅以访问高级博客 Meta 表示,它“不清楚”在黑客攻击期间有哪些个人信息(如果有的话)被访问。(截至周六早些时候,向 Meta 新闻热线发送的询问此事的邮件未获回复。)根据缅因州的列表,黑客攻击大约从 4 月 17 日开始,一直持续到本周,Meta 表示已在此期间保护了聊天机器人。据报道,Instagram 本周早些时候开始通过发送密码重置通知来通知受影响的个人,尽管有用户报告称黑客攻击仍在进行中。Meta 还在通知中确认已提醒用户保护其账户,称其“指示受影响的用户通过安全、经过验证的渠道重置密码并重新进行身份验证”。Meta 表示,目前已禁用该 AI 聊天机器人,并移除了允许聊天机器人重置用户账户的代码路径,同时表示正在检查其平台上的其他聊天机器人,以防止类似事件再次发生。目前尚不清楚导致聊天机器人被滥用的具体背景,但此事发生在 Meta 裁员数千人并同时向高管发放股票激励之后不久,该公司正继续加大对 AI 的投入。~ ~ 非常感谢您阅读~本周安全~。如果您喜欢这篇文章,请分享它!欢迎就本文提出任何反馈、问题或评论:this@weekinsecurity.com。获取您需要了解的所有网络安全新闻,每周送达。订阅 Zack Whittaker 的每周网络安全通讯。手写,零废话。订阅 邮件已发送!请检查您的收件箱以完成订阅。无邮件打开或链接追踪。随时可取消订阅。发布者:Zack Whittaker