Meta AI漏洞导致Instagram账户被劫持


Meta新推出的人工智能软件中存在的一个关键安全漏洞允许攻击者在未获授权的情况下接管Instagram账户,该公司周一确认了这一点。Meta表示该漏洞已被修补,但该事件立即引发了人们对应用于为数十亿用户提供服务的AI集成消费者平台的安全严谨性的质疑。


该漏洞并非传统的凭证填充漏洞或钓鱼诈骗——它存在于Meta自身的AI软件层中,这意味着攻击者可以完全绕过Instagram用户依赖的身份验证保护。据《纽约时报》报道,该漏洞允许任何人执行接管操作,这表明攻击面很广,而不是仅针对特定账户类型或权限级别。


新的攻击面出现


该事件标志着平台安全的重要转折点。随着主要科技公司竞相在其核心产品中直接嵌入AI功能——处理用户数据、生成个性化内容和调解账户交互——每个新的AI组件都会引入尚未经过多年对抗性探测充分测试的代码。传统安全模型是围绕登录、令牌和权限构建的。AI软件层引入了新颖的执行路径,现有威胁模型可能无法预见这些路径。


这不仅仅是Instagram的问题。同样的架构模式——将AI功能添加到或编织到遗留身份和访问系统中——在几乎所有主要平台上都有复制。Meta出现这种性质的漏洞成为了整个行业的强制性约束:AI集成必须伴随相应的对抗性测试、红队演习和安全审计投资,然后才能在生产中推出功能。


仍未解答的问题


多个关键问题仍未得到解答。不清楚补丁部署前有多少账户被泄露,或Meta是否通知了受影响的用户。发现和报告该漏洞的人的身份——以及该漏洞是否在披露前在野外被利用过——尚未得到确认。从发现、内部上报到公开确认的时间表也仍然不透明,这一细节欧盟及其他地方的监管机构可能会根据现有的违规通知义务进行审查。


观察人士应该关注受影响的用户是否会收到Meta的直接通信,以及具有严格事件报告时限的司法管辖区的监管机构是否会启动正式调查。该补丁关闭了这个特定的漏洞——但它所暴露的更广泛的架构问题才刚刚开始被审视。