Meta AI 客服爆資安漏洞!一句話盜走陌生 Instagram 帳號,用戶如何自保?
Meta 旗下 Instagram 的 AI 客服系統近日被發現存在重大安全漏洞,攻擊者能在未經身份驗證的情況下修改陌生人的帳號設定並重設密碼,進而盜取他人帳號。即便 Meta 事後已緊急修補該漏洞,但仍有不少人受到影響,外界對於 AI 系統被賦予過高權限的隱憂也隨之升溫。
meta gave their AI support agent the ability to modify your instagram account. no identity verification. people figured this out and accounts are being taken over right now pic.twitter.com/60yRrImnaZ
— impulsive (@weezerOSINT) May 31, 2026
Instagram 帳號爆駭客災情,Meta AI 客服成攻擊破口
這起資安風波的源頭,就是 Meta 為 Instagram 新推出的 AI 帳號客服助手。該系統原意是協助用戶找回帳號、處理客服需求;然而有心人士發現,攻擊者只需透過精心設計的文字指令,就能利用 AI 客服執行敏感操作。
廣告 - 內文未完請往下捲動
這類攻擊手法被資安研究人員定性為「提示詞注入攻擊(Prompt Injection)」。攻擊者通常會先以 VPN 或代理伺服器偽裝成目標用戶的所在位置,再向 AI 客服發送指令,要求將新的電子郵件地址綁定至目標帳號並啟動密碼重設流程。
由於該 AI 系統擁有直接修改帳號設定的高級權限,且在執行上述操作時,既未啟用雙重驗證(2FA)機制,也未對請求者身份進行核實,密碼重設信件因此被發送至攻擊者掌控的信箱,帳號輕鬆得手。
高價值帳號成主要目標 黑市交易火速展開
此次攻擊的目標集中於所謂的「OG 帳號」,即帳號名稱簡短、稀有且在地下市場具有高度交易價值的帳號。已確認遭竊的帳號包括 @hey 與 @jowo 等,這些帳號在黑市價值不菲。遭盜帳號隨後迅速出現在 Telegram 頻道上公開販售,顯示有不法組織已在第一時間出手盜竊。
其中最引發關注的是已多年未曾發文的歐巴馬時期的白宮官方帳號,該帳號被盜後的版面出現政治敏感內容,引發軒然大波。
ZachXBT 稱 Meta AI 設計粗糙,擔憂未來將頻傳
鏈上偵探 ZachXBT 也對此批評,Meta 的 AI 客服系統設計粗糙、權限配置存在問題,讓駭客能輕易繞過安全驗證程序盜取帳號。
資安人士認為,這類事件將隨著越來越多企業急於將 AI 整合進客服與帳號管理流程而持續增加,若未同步建立嚴格的身份驗證機制,AI 功能反而可能成為駭客入侵的全新攻擊維度。尤其是在設計密碼變更、權限異動和金融操作時,安全格外重要。
(電商巨頭踩剎車!亞馬遜廢除內部 AI 排行榜!員工「刷數據」反拉低效率)
Meta 回應「已修復」:後端系統仍安全
事件曝光後,Meta 發言人對外表示:「我們已修復一個讓外部人士得以對部分 Instagram 用戶發送密碼重設信件的問題。公司後端系統未遭入侵,用戶的 Instagram 帳號目前仍然安全。」
然而資安人士指出,該漏洞在被修補之前可能已存在數月,期間受影響的帳號數量恐達到數千個。
用戶如何自保?
對此,資安專家建議 Instagram 用戶立即採取以下措施降低風險:
- 啟用以驗證器 App 為主的雙重驗證(避免依賴簡訊或電郵驗證)
- 使用未公開與社群媒體帳號連結的私人電子郵件
- 將備用驗證碼妥善存放於安全位置
- 定期檢視已登入裝置清單並移除陌生裝置
- 透過可信賴的密碼管理工具設定高強度且不重複的密碼
這起事件再次提醒用戶,面對 AI 推動、日益複雜的社群媒體安全威脅,主動建立多層防護機制已是當務之急。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
