只需开口请求:Meta 的 AI 客服助手与 Instagram 账号劫持
2026 年 5 月 30 日至 31 日的周末,攻击者只是请求 Meta 的 AI 客服机器人为账号绑定一个新邮箱,便劫持了多个高知名度的 Instagram 账号。无需提示注入——仅仅是过度授权。
这是什么?
在 2026 年 5 月 30 日至 31 日的周末,一系列高知名度的 Instagram 账号遭到劫持,其中包括奥巴马时期白宫的休眠账号、美国太空军总军士长 John Bentivegna 的账号,以及安全研究员 Jane Manchun Wong 的账号。其中几个账号一度被涂改为亲伊朗的图像。这一事件由 404 Media 率先披露(2026 年 6 月 1 日),并经 TechCrunch 与 Brian Krebs 证实。其共同点并不是传统意义上的软件漏洞利用——攻击者只是请求 Meta 的 AI 客服助手去执行操作。
正如 Simon Willison 所评论的,这起事件”甚至算不上提示注入”。没有越狱,没有精心构造的载荷,也没有隐藏指令。该机器人被接入为可应请求执行敏感操作,于是它精准地执行了——只是对象是错误的请求者。这是过度授权(OWASP LLM Top 10)的教科书式案例,也是将 LLM 接入特权客服工作流却缺乏背后授权层时会发生什么的一个早期且高度公开的例子。
工作原理
根本原因在于架构,而非某个秘密字符串。2026 年 3 月,Meta 开始在 Facebook 和 Instagram 上推出 AI 客服助手,赋予它处理常见账号找回工作流的能力——重新绑定丢失的邮箱、触发密码重置、验证账号归属——以减轻 Instagram 出了名缓慢的人工客服带来的摩擦。该助手获得了修改账号状态的能力,却缺少一项可靠的检查:确认聊天中的对象确实是账号的所有者。
根据公开报道,其流程大致如下:
1. 攻击者使用 VPN 让自己看起来位于目标的常用位置附近
(以规避 Instagram 的自动地理异常检测)。
2. 攻击者发起账号找回,并与 AI 客服助手开始对话。
3. 攻击者请求机器人将一个"新"邮箱——即攻击者本人的——
绑定到目标账号。
4. 机器人将一次性验证码发送到攻击者控制的邮箱。
5. 攻击者把验证码回传给机器人,机器人将其视为所有权的证明,
并显示"重置密码"操作。
6. 攻击者设置新密码,将真正的所有者拒之门外。决定性的缺陷在第 3–4 步:攻击者在任何环节都无需控制账号上已有的邮箱。机器人接受了一个全新且未经验证的邮箱作为启动找回的充分条件,随后又去验证它自己发送到该攻击者地址的验证码——这是一种循环式的信任校验。模型表现得乐于助人且前后一致;而它周围的系统根本没有区分”一个请求帮助的用户”和”一个已认证的账号所有者”。
为何重要
除了直接损失(据传播该手法的 Telegram 频道称,那些简短的高价值用户名转售价值据称超过 50 万美元)之外,这起事件之所以重要还有三个原因。
首先,它具有普遍性。Meta 并非唯一将对话式 AI 接入账号找回的厂商。Lumen 旗下 Black Lotus Labs 的威胁研究员 Ian Goldin 告诉 Krebs:“AI 聊天机器人制造了一种有意思的新攻击面,我们很可能会看到更多此类攻击。“任何允许 LLM 执行特权账号操作的平台都继承了这一风险。
其次,它大幅降低了社会工程的成本。人工客服同样可能被说服去执行未授权的重置,但他们速度慢、有频率限制且不一致。一个始终在线、无限耐心、每次都按同一流程行事的机器人,把一门”手艺”变成了一段”脚本”——一段在数小时内就传遍 Telegram 的脚本。
第三,模型本身是按设计正常工作的。LLM 本身没有什么可”修补”的。真正的失败在于:一个不确定且易被说服的组件,被放到了一个不可逆、高影响操作的信任路径上。这是授权设计的问题,任何提示加固都无法彻底解决。
防御
这些教训不过是把旧有的安全原则应用到新组件上。把任何 LLM 智能体都当作不可信、易被说服的行为者,并在其周围部署真正的控制措施。
- **在模型之外执行授权。**敏感的状态变更(绑定邮箱、重置密码或 MFA)必须由应用代码中的确定性检查来把关——即对现有找回因子的控制权证明——绝不能依赖模型对请求是否”看起来合法”的判断。
- **对智能体实行最小权限。**给客服机器人读取与分诊的能力即可;任何不可逆、会修改账号的操作都应交由一个独立、强化、拥有自身验证机制的服务处理,或交由具备明确授权步骤的人工处理。
- **不要让请求者自行提供验证渠道。**把验证码发送到一个由攻击者提供的新地址,再把该验证码当作所有权证明,这是一种循环式的信任校验。找回验证码必须发往预先存在且已验证的因子。
- **对高影响操作保留人工介入。**不可逆操作应要求一个模型无法独自满足的带外确认步骤。
- **启用强 MFA——并强制要求。**攻击者表示,他们的手法对任何启用了 MFA 的账号都失效。即便是通过短信发送的一次性验证码也能挡住它;passkey 或硬件安全密钥则更为稳健。平台应将 MFA 作为找回流程上的硬性门槛,用户也应启用所提供的最稳健的因子。
状态
| 项目 | 来源 | 日期 | 备注 |
|---|---|---|---|
| AI 客服助手上线 | 多家报道 | 2026-03 | 机器人被赋予密码重置 / 账号维护能力 |
| 手法在 Telegram 传播 | Krebs on Security | 2026-05-31 | 亲伊朗频道发布分步视频 |
| 公开披露 | 404 Media | 2026-06-01 | 经多家媒体核实 |
| 旁证 | TechCrunch | 2026-06-01 | 证实攻击者的邮箱确实收到了验证码 |
| 修复确认 | Instagram 发言人 Andy Stone | 2026-06-01 | ”问题现已修复”;周末紧急修补;据报未发生后端数据库泄露 |
Meta 的 AI 客服助手并未被越狱。它只是被人礼貌地请求去做一件它在未认证情况下本就不该被允许做的事。随着 2026 年越来越多平台把账号找回流程交给对话式智能体,结论很直白:LLM 不是授权边界,乐于助人也不等于身份验证。
Sources
- → https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/
- → https://techcrunch.com/2026/06/01/hackers-hijacked-instagram-accounts-by-tricking-meta-ai-support-chatbot-into-granting-access/
- → https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/
- → https://simonwillison.net/2026/Jun/1/hackers-simply-asked-meta-ai/