Meta确认超2.02万个Instagram账户因AI聊天机器人漏洞被劫持

Meta宣布，黑客通过利用其AI辅助账户恢复聊天机器人的漏洞，成功劫持了超过20,225个Instagram账户。 ^{[1, 2, 3]} 攻击期间，黑客能绕过双重身份验证，将密码重置链接发送到控制的邮箱，从而重置账户密码。 ^{[1, 2, 3]}

此次攻击始于2026年4月17日，持续近七周，直到6月1日Meta关闭该漏洞的AI聊天机器人后事件才被终止。 ^{[1, 3]} Meta发言人称，漏洞源于系统未能正确验证请求密码重置的邮箱地址是否与账户绑定，导致未授权人员收到密码重置链接，获得账户完全控制权，包括联系信息、生日、帖子、私信和关联账户的数据。 ^[2]

所有被盗账户均未启用双重认证（2FA），风险集中于此类账户。 ^{[1, 2, 3]} Meta随后禁用了存在漏洞的AI聊天工具，删除了漏洞代码，废止了通过该漏洞生成的密码重置链接，并增加了额外的安全验证步骤。 ^{[2, 3]}

事件于5月31日首次被Meta发现，当天开始调查并于次日修补漏洞。 ^{[2, 3]} 据公布，受影响用户中有30位位于美国缅因州，该州检察长办公室已收到Meta提交的违规通知。 ^[1]

此次攻击中被盗账户包括多名知名公众人物的官方账号，如美国前总统奥巴马的Instagram档案账户和美国太空军首席军士约翰·F·本蒂韦纳的官方账号。 ^{[2, 3]} 黑客还通过VPN伪装受害人地理位置，规避Instagram的区域自动防护措施。 ^[3]

Meta称20,225账号的数字为上限，其中部分账号可能存在合法访问记录。 ^[2] Meta公关负责人安迪·斯通表示，公司已于6月1日“解决”该事件。 ^[2]

Meta将继续提升账户安全保护，鼓励用户开启双重认证，防止类似事件再次发生。