绕过AI就能轻易盗号?Meta智能客服被黑客围攻,多位Instagram网红账号失窃
近日,一场针对Meta旗下Instagram平台的大规模账户盗窃事件引发关注。多名拥有百万粉丝的网红博主发现,自己的账号在未收到任何异常登录提醒的情况下被恶意篡改、解绑安全手机,甚至被用于发布加密货币诈骗广告。调查显示,攻击者并未直接攻破Meta的密码验证系统,而是利用了其智能客服系统中的**社会工程学漏洞**——通过精心构造的“申诉请求”绕过AI自动审核,从而重置受害者账户凭证。
攻防博弈:AI客服反成“助攻”
攻击者首先通过公开信息收集网红账号的基本资料(如邮箱、粉丝数量、关联设备型号),然后伪造身份向Meta的智能客服bot发起“账号被盗”申诉。由于Meta的AI客服高度依赖预设话术和关键词匹配,且对复杂伪造场景缺乏深度语义理解,攻击者使用多轮对话逐步引导系统进入人工审核的后门——而部分人工审核员在压力下直接批准了敏感操作。这种“AI-AI对抗”的薄弱环节,本质上是自动化信任机制与人性化安全审查之间的灰色地带。
网红失窃背后的连锁风险
被盗账号不仅是个人流量资产,更是连接品牌合作、支付方式与私信对话的枢纽。黑客获取控制权后,可立即修改绑定邮箱、关闭二步验证,甚至利用Meta的“授权登录”功能窃取关联的Facebook、WhatsApp账户。更值得警惕的是,部分网红账号曾接入第三方API用于管理粉丝互动,攻击者可能通过授权令牌横向渗透至更多第三方平台,形成跨平台的数据泄露链。
无法依赖单一防线:安全需要“人机协同”
此次事件暴露出过度依赖AI客服的风险。Meta需要立即升级其申诉系统的异常行为检测:例如对高频同类申诉请求触发人工复核、对修改安全设置的操作引入“冷却期”和二次生物特征验证。对于用户而言,建议启用**硬件安全密钥**(如YubiKey)替代短信验证码,并定期检查“已授权的应用”列表,关闭所有非必要的第三方接口。在AI攻防进入新阶段时,任何单一防御手段都可能被针对性地绕过——真正的账户安全,仍需要技术、流程与用户意识的三重闭环。
