駭客「智取」Meta AI 機器人！Instagram 兩萬帳號遭劫，白宮、美太空軍也受害

一場看似簡單卻極具破壞力的攻擊，揭露了人工智慧（AI）支援系統潛在的資安漏洞。駭客僅透過幾步操作，便成功「智取」Meta 旗下 Instagram 的 AI 支援機器人，得以重設用戶密碼並接管多達約 20,000 個帳號，其中不乏美國白宮、太空軍等高知名度單位。

這起事件的攻擊手法令人驚訝地簡單，甚至可說是「天真」：

1. 駭客首先發起密碼重設流程。
2. 當系統要求選擇重設方式時，他們選擇了「Meta AI 支援助理」（Meta AI Support Assistant）。
3. 接著，駭客直接要求該 AI 聊天機器人為目標帳號新增一個電子郵件地址。
4. 令人匪夷所思的是，儘管駭客並未登入該帳號，AI 機器人卻「毫無疑問」地執行了這項指令，將新的電子郵件地址加入帳號。
5. 隨後，聊天機器人將重設密碼所需的驗證碼發送到這個新加入的電子郵件地址。
6. 駭客利用收到的驗證碼，成功更改了目標帳號的密碼。

完成上述步驟後，原帳號持有者會被強制登出所有裝置，帳號控制權隨即落入駭客手中。資安帳號 Dark Web Informer 也在社群媒體上發布了這項漏洞的實際操作影片，並指出該漏洞已在短時間內修補。

逾兩萬帳號受害，高層級單位也難倖免

據 TechCrunch 報導，這波攻擊的受害者包含多個高知名度的 Instagram 帳號。例如，美國前總統歐巴馬執政時期的白宮 Instagram 帳號（自 2017 年後便不活躍）以及美國太空軍（U.S. Space Force）的總士官長約翰·本蒂維格納（John Bentivegna）的帳號都遭到入侵。此外，知名資安研究員珍·黃（Jane Wong）也證實她的 Instagram 帳號同樣被駭客接管。

根據 SecurityWeek 的報導，Meta 已證實約有 20,225 個 Instagram 帳號在此次事件中遭到入侵。雖然其中少數可能為真實用戶的請求，但絕大多數都屬於駭客攻擊。駭客一旦得手，便可能取得受害者的個人資料、電子郵件地址、電話號碼、出生日期、私訊內容、社群媒體貼文，以及帳號活動與互動歷史等敏感資訊。

Meta 迅速應變，修補漏洞並強化資安

面對這項嚴峻的資安挑戰，Meta 迅速採取了應對措施。該公司已立即停用了被濫用的 AI 支援工具，並承諾只有在確認漏洞已完全修復後才會重新啟用。同時，所有透過此漏洞產生的密碼重設連結均已失效。此外，所有受影響的帳號都已被強制納入安全檢查點，並重設了密碼。Meta 也已主動通知所有受影響的帳號持有者。

這起事件再次提醒我們，即使是看似先進的 AI 支援系統，也可能因設計或實作上的疏漏而成為駭客的目標。對於企業而言，在導入 AI 服務的同時，更需加倍重視其潛在的資安風險，並建立完善的應變機制。