Meta旗下Instagram近日爆發嚴重資安事件。駭客可透過社交工程手法欺騙AI客服機器人,進而取得他人Instagram帳號控制權。受影響帳號包括美國前總統歐巴馬(Barack Obama)任內的白宮官方Instagram帳號、美國太空軍高級士官長John Bentivegna,以及美妝品牌Sephora等知名帳號。Meta已於週一證實漏洞存在,並表示問題已完成修復。
攻擊手法出乎意料地簡單
根據國外科技媒體《404 Media》及《 TechCrunch》的報導,駭客利用Meta今年初全面推行的AI客服助理(Meta AI Support Assistant)發動攻擊。駭客首先透過 VPN 偽裝成目標帳號所在地的 IP 位址,以規避 Instagram 的自動防護機制,接著直接開啟 Meta AI 客服助理的對話視窗,以自然語言要求AI將一個全新的電子信箱綁定到目標帳號。AI客服成資安破口
這起事件的根源,在於 Meta 今年初大力推廣的 AI 客服功能。Meta 在今年三月宣布,將在 Facebook 和 Instagram 上全面部署 AI 客服助理,並強調該功能不只能給出建議,更能直接為用戶執行操作,包括重設密碼與帳號安全回復等敏感功能,對外宣傳的口號是「提供解決方案,而不只是建議」。然而此次事件暴露出將關鍵安全功能委由 AI 處理的潛在風險。部分帳號遭竊的用戶反映,他們找不到任何途徑將問題升級至真人客服處理,凸顯出純 AI 客服在緊急應變上的嚴重缺口。






