黑客利用Meta AI支持聊天机器人漏洞窃取名人Instagram账户

ZachXBT和Dark Web Informer还证实了黑客如何瞄准并转售特别有价值的Instagram账户，包括短手柄@hey和@jowo，据CyberSec Guru称，其“灰市总估值估计超过100万美元”。

该安全博客报道称，即使黑客仅持有这些账户几天，它们也可能因“影响力、转售或品牌冒充”而具有价值。巨大的安全漏洞。CyberSec Guru还将该漏洞描述为计算机安全领域典型的“混淆代理”问题，即具有较高权限的程序被欺骗，代表权限较低的第三方滥用这些权限。

但在本例中，“代理”是一个大型语言模型，具有“可以用语言引导的概率响应模型”，而不是具有“需要用代码绕过的硬编码条件”的“确定性程序”。值得记住的是，即使Meta AI支持聊天机器人被利用，用户也有简单的安全解决方案。

据KrebsOnSecurity称，黑客报告称，他们的攻击对任何启用了多因素身份验证（MFA）的账户均告失败，包括通过短信发送一次性代码这种“Instagram提供的最不稳健的MFA形式”。

但该漏洞仍然凸显了科技公司和其他组织急于部署具有更高权限的AI代理的更广泛风险，这些代理允许它们修改、创建或删除关键数据。Meta于2026年3月推出了其Meta AI支持助手，并承诺它可以“随时为几乎任何支持问题提供可靠的24/7支持”。

据CyberSec Guru称，更安全地实现这一点所需的“最低”架构将包括“在任何账户修改之前进行带外验证……针对账户风险信号对AI发起的重置流程进行速率限制，对异常AI驱动的账户修改进行带有异常检测的操作日志记录，以及一个硬确定性门。

”