最新新聞 (TW)

Meta 人工智慧中的程式碼注入漏洞可授予 Instagram 帳戶存取權限，甚至影響歐巴馬白宮

作者 Maria • 2026年6月1日 • 1 min de leitura

Foto: meta ai - gguy / Shutterstock.com

有關嚴重安全漏洞的報告開始流傳，表明駭客成功欺騙了 Instagram 上 Meta 的人工智慧助理。此漏洞允許對使用者帳戶進行未經授權的存取。即使啟用了雙重認證，該漏洞也會發揮作用，引發人們對現有保護層有效性的擔憂。

在 Meta 修復漏洞之前，據稱該漏洞允許攻擊者控制帳戶長達數月之久。在已確認的目標中，奧巴馬白宮不活躍的 Instagram 帳戶脫穎而出，凸顯了此類違規行為對高知名度個人資料的潛在影響。攻擊的複雜性揭示了數位網路安全挑戰的新前沿。

IA Meta 中漏洞利用的技術細節

攻擊機制涉及一系列旨在操縱 Meta 人工智慧助手的步驟。首先，攻擊者使用配置為符合目標帳戶地理位置的虛擬私人網路 (VPN)。此步驟對於模擬合法存取並繞過基於地理位置的可能安全警報至關重要。模擬使用者來源的精確度有助於此方法的有效性。

然後，一條特定的訊息被送到了AI助理的手中。這則訊息的表述是「程式碼注入」的核心，旨在欺騙人工智慧採取意想不到的行動。反過來，人工智慧將該命令處理為更改用戶資料的合法請求，而沒有進行適當的驗證。

該訊息本質上是要求助理將新的電子郵件地址連結到該帳戶。該文字包括目標帳戶的使用者名稱和攻擊者的電子郵件地址，以及將重設程式碼傳送至此惡意電子郵件的說明。這個簡單但巧妙的過程利用了人工智慧解釋中的邏輯缺陷。

AI助理毫不猶豫地直接回應了請求，向攻擊者提供的電子郵件地址發送了密碼重置連結。此連結允許攻擊者重設帳戶密碼，從而獲得完全控制權。缺乏更強大的人工智慧驗證是導致漏洞成為可能的關鍵點。

黑客采用的方法表明了他们对人工智能系统和帐户恢复协议中的漏洞的深入了解。有效性取決於每個步驟的精確執行。

攻擊序列的要點包括：

VPN使用：攻擊者使用VPN來掩蓋他們的真實位置，使其與被駭客攻擊的帳戶的位置相匹配，從而增加了系統內請求的可信度。
被操縱的消息：為人工智慧助理創建了一個特定的短語，其中包含連結新電子郵件和發送重置代碼的明確說明。
包含憑證：此訊息直接插入目標帳號的使用者名稱（使用格式@{target_username}）和攻擊者控制的電子郵件地址（{attacker_email}）。
AI發送代碼：人工智慧助理經過編程以促進帳戶恢復，處理請求並將密碼重設連結直接發送到攻擊者的電子郵件，完成帳戶接管。

該策略強調了比簡單的地理位置驗證更複雜的安全機制的重要性，特別是在存取敏感用戶資訊時。過度依賴人工智慧對自然語言命令的解釋已被證明是一種攻擊媒介。