Meta認了AI客服漏洞　逾2萬IG帳號遭盜

Meta日前向美國緬因州政府提交的資料外洩通知首度確認，駭客利用Meta AI客服聊天機器人的程式漏洞，至少2萬225個Instagram帳號在4月17日至6月初期間遭到惡意接管，涉及時間長達近七週。Meta已證實此事並表示相關漏洞已經修復。

根據Meta的官方文件，駭客可能透過AI客服機器人要求重設密碼，進而將受害者帳號綁定到自己的電子郵件信箱，完成帳號劫持。該漏洞最早於5月31日被發現，公司於6月1日完成修補。

攻擊手法出乎意料簡單。駭客首先透過VPN將自己的連線位置偽裝成目標帳號的所在地區，繞過Instagram依地理位置觸發的自動防護機制。隨後啟動密碼重設流程，在對話中向Meta的AI客服提出看似合理的請求：將帳號繫結的電子郵件地址改成攻擊者自己的信箱。AI客服照辦無誤，系統隨即將驗證碼寄到駭客的電子郵件，駭客將驗證碼貼回對話視窗後，機器人就顯示「重設密碼」按鈕。整個流程無需碰觸受害者的電子郵件，帳號就已易主。

• play_circle_outline 騎機車雨天神器！網點名「高筒鞋套」：小腿以下很乾爽

AI客服設計缺陷成關鍵

Meta的AI客服設計邏輯在於降低摩擦，讓用戶無需記住密碼、無需等待真人客服，就能快速恢復帳號存取。然而這項「便利」對正常用戶有效，對攻擊者同樣有效。傳統帳號恢復流程設有多道核對機制確保請求者身份與帳號資訊相符，但AI聊天機器人在處理自然語言請求時，往往需要在「理解用戶意圖」與「執行安全驗證」之間取得平衡。此次事件顯示Meta AI在此平衡上出現根本性缺口：聊天機器人「理解」了帳號恢復請求，卻未執行最基本的信箱歸屬驗證。

根據外媒報導，有消息傳出，美國前總統歐巴馬任內的白宮官方存檔帳號，以及美國太空軍首席士官長約翰．班蒂維尼亞（John F. Bentivegna）的官方帳號，都曾一度受到影響。Meta表示，目前尚不清楚駭客是否成功取得受害者個人資料，但攻擊者取得完整控制權後，可存取聯絡資訊、生日、個人資料、貼文、私訊與帳號歷史活動。

• play_circle_outline 雨彈範圍又擴大！18縣市豪雨、大雨特報　大雷雨轟2地

未啟用雙重驗證成主要目標

受害帳號的共同特徵是清一色未啟用雙重驗證（2FA）。雙重驗證在此次事件中扮演唯一有效的防護角色，啟用該功能的帳號不在受害範圍內。沒有啟用2FA的帳號之所以成為主要目標，正是因為攻擊者可繞過第二道驗證直接完成接管。

Meta已採取多項補救措施應對此次事件。公司暫時停用AI客服工具、移除存在漏洞的程式碼，並讓所有透過漏洞產生的密碼重設連結失效。此外，Meta針對所有可能受到影響的帳號啟動額外安全驗證機制，相關帳號已被納入強制安全檢查流程，用戶在重新登入前必須完成身分驗證，以降低帳號遭進一步濫用的風險。

• play_circle_outline 雨彈掃半個台灣！12縣市發布豪雨、大雨特報

對Instagram用戶而言，目前最直接的防護措施只有一個：啟用雙重驗證。