Meta AI 客服機器人爆史上最離譜漏洞：駭客一句話就接管 Instagram 帳號

Meta 去年 12 月推出的 AI 客服助理，原本被公司吹捧為能『讓帳號救援流程更快更簡單』，結果反而成為駭客接管 Instagram 帳號的完美破口。安全研究員 0xsid 揭露整套攻擊流程簡直『蠢到不可思議』——駭客只需要目標帳號的使用者名稱，再用 VPN 把 IP 切到目標所在的城市，假冒帳主向 Meta 客服 AI 報案說『帳號被盜了』，AI 就會主動把驗證碼寄到駭客指定的任意電子郵件信箱。完成驗證後平台直接發送完整的密碼重設連結，攻擊者連原本的雙因素驗證（2FA）都一併繞過——所有現有 session 立即被撤銷、密碼直接被改，真正的帳主想搶回來只能跟同一個 AI 對話求救，背後完全沒有真人客服可以升級處理。受害帳號橫跨政商名人，包含歐巴馬白宮官方帳號、美國太空軍高階軍官、美妝零售 Sephora 等。0xsid 直言：『一家市值 1.5 兆美元的公司，連個最基本的防護欄杆都沒有，客服 AI 竟然只要被好好拜託就願意幫你換掉任何人的綁定 Email，這如果沒有那麼爆笑的話，根本是恐怖到極點。』Meta 已於週末緊急修補漏洞，發言人 Andy Stone 在 X 上證實『問題已解決、正在協助受害者取回帳號』，但這個漏洞早在 3 月就在 Telegram 黑市流傳，前後活躍時間可能長達數週甚至數月。