社交媒体巨头Meta最近遭遇了一场颇具讽刺意味的安全风波——其寄予厚望的AI客服系统,反而成了黑客手中的“万能钥匙”。多名顶级网红的Instagram账号被劫持,背后黑手正是利用了Meta自家AI聊天机器人的漏洞。
简单来说,黑客没有发动什么复杂的网络攻击,而是像哄小孩一样,用极其简单的指令骗过了AI。据多方信息证实,受影响的账号名单星光熠熠:包括美国前总统奥巴马的官方白宫账号、美国太空军首席军士长、美妆零售巨头丝芙兰的官方主页。在劫持期间,这些账号甚至被恶意发布了带有政治色彩的宣传内容。此外,知名安全研究员、逆向工程专家 Jane Manchun Wong 也确认,她的个人账号在昨天遭遇了频繁强制登出和密码重置,同样未能幸免。
这场风波的根源,是Meta在今年3月推出的AI驱动客服助手。其初衷是好的:帮助用户自助完成密码重置、设置双重验证、恢复账号等操作。然而黑客发现,他们可以用极其简单的方式绕过安全机制。根据黑客在社交平台上分享的验证视频,攻击者只需向AI机器人发送一条“将此账号绑定到我的新邮箱”的请求,AI助手就会直接将验证码发送到黑客手上,从而轻松更改密码并锁死原主人。为了躲避安全风控,黑客还会使用VPN伪装位置,使其与受害者的常用登录区域保持一致。那些价值连城的“优质账号”——比如单字母、短单词的用户名——成为了主要攻击目标。
后知后觉的Meta在事件发酵后终于回应。一位发言人表示,相关漏洞已经紧急修复,技术团队正在全力协助受影响的用户恢复账号并进行安全检查。不过,一个值得深思的问题是:当AI客服的“听话”程度超过了安全边界,它究竟是帮用户解决问题,还是在给黑客递刀?随着AI Agent在客服、金融、医疗等领域的广泛部署,如何让AI既能理解用户意图,又能坚守安全底线,已经成为整个行业必须正视的课题。
