駭客濫用Meta的AI支援接管他人IG帳號
來源: iThome | 日期: 2026-06-02
URL: https://www.ithome.com.tw/news/176275
事件摘要
駭客濫用Meta的AI客服助理,透過**提示詞注入(Prompt Injection)**攻擊,偽稱帳號遭竊以啟動密碼重設程序,將重設連結傳送至駭客指定信箱,成功接管他人IG帳號並於Telegram販售。
時間軸
| 時間 | 事件 |
|---|---|
| 2025年12月 | Meta推出新版Facebook/Instagram客服支援中心,開始測試AI支援助理 |
| 2026年3月 | AI支援助理全面推出(含密碼重設、個人資料修改等功能) |
| 2026年2月 | 漏洞開始被利用(據ThreatAft) |
| 2026年5月底 | Meta修補漏洞 |
| 2026年6月1日 | Meta向《衛報》證實事件 |
漏洞細節
- 攻擊手法:在對話中插入特定指令操控AI助理,將密碼重設連結傳送至駭客指定郵件地址
- 即使目標帳號啟用2FA仍可能受害(未設2FA者尤其脆弱)
- AI助理不會驗證請求者身分,且擁有過多帳號操作權限
- 漏洞存在約3個月(2月至5月底)
已知受害帳號
- 歐巴馬任內白宮IG帳號
- 美國太空軍最高士官長 John Bentivegna 的IG帳號
- 美妝零售商 Sephora 的IG帳號
- 高價值短帳號:
@h、@eggs、@hey、@jowo - 估計總價值達數十萬美元,均透過Telegram兜售
各方回應
鏈上調查員 ZachXBT:「Meta AI支援基本上就是個垃圾,它擁有過多的權限,讓駭客能夠重設任何未設定2FA的帳號密碼,而且它根本不會驗證駭客身分。」
- Meta:已向衛報確認事件,表示漏洞已修補,正保護受影響帳號,但未透露受害規模
建議防護措施
- 立即為Instagram帳號啟用雙因素驗證(2FA)(雖非萬全但可降低風險)
- 留意帳號異常登入或密碼變更通知
衍生頁面
- 駭客濫用Meta AI客服提示詞注入攻擊接管Instagram帳號 — 主要事件概念頁
- meta — Meta公司