AI 雙面刃？Meta 支援聊天機器人漏洞恐致 Instagram 逾兩萬帳號外洩

Meta 近期向美國緬因州總檢察長辦公室提交一份資料外洩通知，首次揭露其 Instagram AI 支援聊天機器人存在漏洞，導致至少 20,225 個帳號可能遭到駭客劫持，其中包含緬因州的 30 個帳號。這起事件凸顯了在積極擁抱 AI 的同時，如何確保數位平台安全的嚴峻挑戰。

AI 支援工具成駭客溫床：未驗證信箱即可重設密碼

這項被稱為「高接觸支援（High Touch Support）」的 AI 聊天機器人，原旨在協助被鎖定帳號的用戶重新取得存取權。然而，問題出在一個獨立的程式碼路徑中存在漏洞，導致系統在發送密碼重設連結時，並未驗證所提供的電子郵件地址是否確實屬於該 Instagram 帳號。

「該工具本身運作正常，功能符合預期；然而，由於一個獨立程式碼路徑中的錯誤，系統未能正確驗證請求密碼重設者提供的電子郵件地址，是否與該用戶的 Instagram 帳號相關聯。結果是，當有人提供一個先前未與該帳號關聯的電子郵件地址時，系統錯誤地將密碼重設連結發送到那個未關聯的電子郵件，而非拒絕請求。這使得未經授權的第三方能夠收到他們不擁有的帳號之密碼重設連結。」

根據通知，攻擊活動約從 2026 年 4 月 17 日開始，直到 5 月 31 日才被發現。Meta 通訊主管 Andy Stone 則表示公司已於 6 月 1 日解決此事件。駭客利用此漏洞，在沒有雙重認證的情況下，僅需向聊天機器人請求密碼重設，即可將重設連結發送至他們控制的電子郵件，進而劫持帳號。

逾兩萬帳號受影響，高知名度帳號也遭殃

Meta 表示，20,225 個帳號的數字是一個「上限」，因為其中一些存取嘗試可能來自合法的帳號持有人。潛在可存取的資料包括聯絡資訊、出生日期、貼文、私訊、帳號活動、個人檔案資訊以及連結服務。Meta 坦承，目前尚不清楚駭客實際檢視了哪些資訊。

據報導，這次攻擊也影響了一些高知名度的 Instagram 帳號，例如美國前總統歐巴馬（Barack Obama）的舊白宮帳號、美國太空軍總士官長約翰·班提維納（John F. Bentivegna），以及美妝品牌絲芙蘭（Sephora）。

Meta 緊急應變與未來計畫

作為緊急應對措施，Meta 已立即停用該 AI 聊天機器人，移除有問題的程式碼路徑，並使所有透過該系統生成的密碼重設連結失效。受影響的用戶被強制進入安全檢查點，並被要求透過驗證管道重設密碼。

在重新啟用該工具之前，Meta 計劃修復復原過程中的電子郵件驗證步驟，並全面審核其所有平台上的類似帳號復原系統。這起事件發生在 Meta 大力押注 AI 的同時，也正經歷數千名員工被裁員的時期。諷刺的是，這個 AI 支援聊天機器人曾被 Meta 宣傳為提升帳號安全性的成功案例。

為什麼重要？

這起事件不僅揭露了 AI 應用在實際部署中可能潛藏的資安風險，也突顯了即使是設計用於提升安全性的工具，若存在微小漏洞，也可能被惡意利用，造成大規模的帳號外洩。對於正積極轉型 AI 的科技巨頭 Meta 而言，如何在創新與資訊安全之間取得平衡，將是其未來發展的關鍵考驗。