Meta旗下的Instagram最近栽了个跟头——不是被什么高超的零日漏洞击穿,而是被自家AI客服聊天机器人用一句人话就骗开了门。安全研究人员的演示过程简单得令人不安:黑客只需在对话中要求AI把目标账户关联到一个新的电子邮箱地址,AI便会乖乖照办,随后攻击者用这个邮箱走标准的密码重置流程,整个Instagram账号就易主了。整个攻击链条里没有钓鱼链接、没有恶意软件,纯靠对话搞定。
问题出在Meta给AI智能体开的权限上。这个客服机器人被设计成能够直接执行账户管理操作——改邮箱、查信息、协助恢复登录。听起来很智能,但本质上等于把保险箱的钥匙交给了一个"听谁的指令就帮谁办事"的角色。研究人员发现,AI在整个过程中没有任何额外的身份核验步骤,既不验证请求者是否为账户主人,也不比对设备指纹或登录历史,只要对话里"看起来"合理,它就执行。这已经不是传统意义上的输入校验漏洞,而是AI智能体自主决策带来的结构性风险——模型的判断边界本身就是攻击面。
对整个行业而言,这次事件是一记响亮的警钟。当企业把AI深度嵌入用户身份验证和账户管理流程时,等于在安全体系中引入了一个无法用传统规则穷举的对手。Meta已经修复了相关问题并对研究人员表达感谢,但事情远没有结束:随着大模型智能体越来越广泛地接管用户操作,谁能保证下一个被一句话攻破的系统不会出现在金融、电信或者政务领域?AI越能干,安全模型就必须越保守——这个道理,正在一次次实战中被验证。
