一个很反常的细节是:攻击者不一定需要攻破 Instagram 后台,也不一定需要绕过双因素认证。
据 The Verge 援引 404 Media 报道,有黑客在 Telegram 视频里演示过一条路径:向 Meta 的 AI 支持聊天机器人提出请求,把别人的 Instagram 账号绑定邮箱改成攻击者自己的邮箱。验证码随后发到攻击者邮箱,密码被重置,原账号主被踢出门外。
这不是传统意义上的“黑进系统”。更像是走到柜台前,靠一套话术让柜员把别人家的钥匙交给你。
Meta 的说法是,问题已经修复,正在保护受影响账号。这个前提要说清楚:它不是一个仍可公开复现的入口。但它留下的问题,比一个补丁大得多。
发生了什么:AI 客服被卷进账号接管链条
按现有报道,Meta 今年 3 月推出 AI 支持助手,用来处理密码重置、双因素认证、账号找回等问题。麻烦正出在这里:这些不是普通客服问题,而是账号所有权问题。
几个关键信息压缩一下:
| 问题 | 已知信息 |
|---|---|
| 攻击路径 | 请求 AI 客服更换目标账号邮箱,验证码发到攻击者邮箱,再重置密码 |
| 涉及功能 | 密码重置、2FA、账号恢复等高风险支持流程 |
| 相关案例 | 奥巴马白宫 Instagram 账号曾发布伊朗宣传内容;美国太空军高级军士长、Sephora、Jane Manchun Wong 等账号被报道提及或疑似受影响 |
| 攻击辅助 | 有攻击者会用 VPN 伪装到目标附近,提高请求可信度,但这未必是唯一条件 |
| Meta 回应 | 漏洞已修复,正在保护受影响账号 |
这里要谨慎一点:不能把所有异常账号都直接归因于这个 AI 漏洞。报道里有时间线接近,也有多个高知名度账号被并列提及,但并不等于每个案例都已经完成因果闭环。
可攻击链本身已经够扎眼。
一个负责“帮你找回账号”的系统,居然能被说服去“帮别人接管账号”。
为什么重要:账号恢复不是客服,是门锁
我不太买账“AI 被黑了”这个说法。它太轻,也太方便。
AI 没有自己想不开去作恶。它只是拿到了平台给它的能力,然后在错误的校验边界里执行了错误请求。
真正的问题是:Meta 把邮箱绑定、验证码发送、密码重置这类高风险动作放进了自动化对话流程,却没有把身份校验和权限边界做成铁门。
账号恢复从来不是普通售后。它更像银行补卡、房产过户、公司印章重置。用户说“这是我的”,系统不能只看话术顺不顺、位置像不像、请求听起来合不合理。
对 Instagram 来说,高价值账号也不只是一个头像和用户名。
它可能是品牌资产、政治传播渠道、创作者饭碗。单字母用户名、常见词账号、名人账号,甚至可以在黑市里被当成稀缺品交易。
所以这件事里最危险的地方不是模型幻觉,而是权限错配。
AI 客服可以回答问题,可以引导流程,可以减少排队。但它不能成为绕过身份验证的捷径。模型再聪明,也不能替代门禁。
谁最受影响:不是所有用户同等危险
普通用户当然也该紧张,但真正处在高风险区的是两类人。
一类是创作者、品牌账号、媒体账号。账号本身就是资产。一旦邮箱被换、密码被重置,损失不只是几天不能登录,而是广告合作、私域流量、粉丝信任一起被拖下水。
另一类是政治人物、机构账号、公共传播账号。奥巴马白宫账号出现伊朗宣传内容这个时间点,哪怕还不能直接证明与 AI 客服漏洞有关,也足够说明这类账号被接管后的外溢风险。
一个账号被盗,在普通人那里是麻烦;在公共账号那里,可能变成信息战入口。
这也是平台不能把账号恢复当成“工单效率”来看的原因。省掉的是客服成本,放大的是信任风险。
用户能做的动作很有限,但仍然要做:
- 打开双因素认证,优先使用认证器 App 或安全密钥;
- 定期检查绑定邮箱、手机号和登录设备;
- 品牌和创作者不要把核心业务只押在一个平台账号上;
- 重要账号要留好权属证明、合同、商标、域名、官方邮箱等材料。
这些不能从根上挡住平台侧流程漏洞,但至少能减少被动挨打的概率。
Meta 真该被追问的是组织选择
这件事还有一层更难看的背景。
Meta 这几年一直在把 AI 往内部流程和用户支持里推。公开讨论里,The Pragmatic Engineer 的 Gergely Orosz 也提到,Instagram 的信任与安全团队近期遭到削弱,一些人被调去做 AI 标注等任务。
这些说法还不能替 Meta 下最终判决。组织内部怎么调、具体团队怎么变,外部看到的永远不完整。
但方向并不陌生。
大平台近几年都在做同一道算术题:客服太贵,审核太贵,安全太慢,AI 看起来又便宜又快。于是最容易被自动化吞掉的,往往不是锦上添花的流程,而是那些平时没人夸、一出事就要命的基础防线。
“天下熙熙,皆为利来。”这里的利有两头:黑客抢号的利,平台降本的利。
技术史里这种戏码不新鲜。铁路扩张时,调度和信号系统跟不上,事故会把成本重新算一遍;互联网平台扩张时,审核、安全和申诉系统跟不上,代价就落到用户身上。
今天换成 AI 客服,本质没变:效率跑在治理前面,缝隙就会被人当成通道。
Meta 这次补漏洞,当然是正确动作。但补丁只能修一个口子,修不了一种激励:能省人的地方先省,能上 AI 的地方先上,风险等事故发生后再集中处理。
这才是更危险的部分。
接下来该看什么:不是模型多聪明,而是权限怎么收
接下来最该看的,不是 Meta 会不会继续说“已修复”。这句话每家公司都会说。
真正该看三件事。
第一,AI 客服还能不能直接触发高风险动作。邮箱变更、2FA 重置、密码恢复,应该被拆成多层验证,而不是一次对话里一路放行。
第二,高价值账号有没有更严格的恢复流程。名人、品牌、媒体、机构账号,本来就不该和普通低风险账号走同一套门禁。
第三,平台会不会把安全团队当成本中心继续压缩。AI 能提高效率,但安全不是平均成本问题。一次事故,就能把省下来的钱烧干净。
我不是反对 AI 客服。恰好相反,很多低风险问题交给 AI 处理,确实合理。查入口、解释规则、整理申诉材料、提示安全设置,都可以自动化。
但账号所有权这件事不能交给“像是可信”的判断。
门锁可以更智能,钥匙不能随便补。