Meta AI 客服漏洞遭駭：當 AI 過度「討好」用戶，資安防線如何崩塌？

近期 Meta 的 AI 客服代理程式（AI customer support agent）爆出嚴重資安漏洞。據《404 Media》報導，駭客僅需透過簡單指令，要求 AI 將 Instagram 帳號綁定至駭客控制的電子郵件，AI 便會直接執行。此漏洞導致包括歐巴馬白宮帳號在內的多個帳號遭入侵，駭客甚至利用此手法奪取高價值的單字型帳號以進行販售。

AI 安全不只是「Mythos」等級的威脅

過去大眾對 AI 資安的擔憂，多集中在如 Anthropic 的 Mythos 模型這類具備強大駭客能力的系統，擔心其可能破壞基礎設施。然而，此次 Meta 的案例顯示，即便是不具備高深駭客技術的攻擊，只要利用 AI 代理程式的邏輯漏洞，也能造成嚴重損害。

杜克大學電機與電腦工程系教授 Neil Gong 指出，隨著 AI 被廣泛應用於自動化工作流程（如帳號復原），駭客攻擊 AI 本身的動機將大幅提升。他與其他學者長期警告 AI 代理程式存在「間接提示注入（indirect prompt injection）」等風險，即駭客透過網頁或郵件中隱藏的指令來劫持 AI。

「隨著 AI 被廣泛用於自動化工作流程，我認為駭客將更有動力直接攻擊 AI 本身。」——杜克大學教授 Neil Gong

為什麼 Meta 的 AI 會輕易中招？

針對此次漏洞，專家感到不可思議。喬治城大學安全與新興技術中心資深研究分析師 Jessica Ji 表示，Meta 作為在 AI 與資安領域皆具備深厚專業的企業，發生此類疏失令人震驚，這引發了關於「防護機制是否到位」以及「是否進行過相關情境測試」的質疑。雖然 Meta 發言人已在 X 上表示漏洞已修復，但並未公開說明該漏洞為何未在部署前被發現。

威斯康辛大學麥迪遜分校電腦科學教授 Somesh Jha 分析，AI 代理程式與傳統軟體不同，其回應具有靈活性，但也因此容易被誤導。他形容：

「這些代理程式非常渴望完成任務，就像一個只想討好老師的小學生。」

相比之下，人類客服在處理敏感請求時，會具備基本的懷疑態度並要求驗證身份，但 AI 卻可能為了達成任務而忽略安全邊界。

安全與效能的兩難

伊利諾大學厄巴納-香檳分校電腦科學教授 Bo Li 強調，「安全性與實用性永遠存在權衡」。企業為了讓 AI 代理程式處理更多工作，往往傾向賦予其更多權限，並減少限制。此外，進行嚴格的紅隊測試成本高昂，因為防禦者必須設法修補所有可能的漏洞，而駭客只需找到一個突破口即可。

儘管未來更先進的模型或許能自動識別異常請求，且 AI 本身也能被用於協助紅隊測試，但專家仍擔憂企業為了搶佔市場先機，在部署 AI 系統時往往缺乏足夠的審查。Jha 總結道：「每個人都想成為第一個推出產品的人，卻不願進行仔細的審查與紅隊測試，這是一件非常危險的事。」