一起典型的“迷糊代理人”事故：AI客服为什么直接把2万多个Instagram账号送给了黑客？

攻击手法：只需六步就能窃取账户

这次攻击的方法粗暴而简单。2026年5月31日，一个发布在Telegram（电报）上的视频首次记录了这种攻击手法，全过程不过是与Meta自家的AI客服助手进行了一段聊天对话 。具体操作步骤如下：

1. 目标分析： 攻击者通过收集目标公开的社交媒体帖子等信息，获取他们大致的地理位置。
2. 位置伪装： 为避免触发Instagram的自动风险标记，攻击者会通过地理位置接近目标所在区域的VPN（虚拟专用网络）连接网络 。
3. 启动流程： 攻击者在Instagram的登录界面，打开标准的密码重置页面，并选择“与Meta的AI客服助手聊天”这个选项。
4. 提出要求： 攻击者直接告诉机器人：“把这个账户和我的邮箱绑定。”
5. 机器人照办： 由于AI缺少身份验证环节，它直接将一次性密码重置验证码发送到了攻击者控制的邮箱 。
6. 接管完成： 攻击者输入验证码，重置密码，将真正的用户锁在了门外 。

只要账户没有启用双重身份验证（2FA），这条攻击链就是无敌的。最初分享攻击视频的黑客自己也证实，他们的手法对任何启用了多因素认证（MFA）的账户都是无效的 。

事件余波：从高价值“OG”靓号到品牌和官方账号

受害账户的规模和级别突显了如今盗取Instagram账户是一件多么有利可图的买卖。在被劫持的20,225个账户中，最引人注目的目标包括：

• @obamawhitehouse： 奥巴马政府时期的Instagram官方账号（现已停止更新） 。
• 丝芙兰（Sephora）： 这家全球美妆零售商的官方账号 。
• 约翰·本蒂维尼亚（John Bentivegna）： 美国太空军总军士长约翰·本蒂维尼亚的个人Instagram账号 。
• 稀有的“OG”靓号： 像@hey和@korn这种单字符或非常抢手的超短用户名账号，遭到了系统性的攻击。因为在一些地下论坛，这些ID的转售价格从几千美元到数十万美元不等 。

研究人员估计，在Telegram上挂牌出售的被盗高级账户，其总价值超过了100万美元，不过Meta尚未证实这一数字 。一些被劫持的账户曾被短暂地挂上亲伊朗的图像，这给此次事件平添了一抹地缘政治的微妙色彩 。

这个漏洞的暴露窗口至少从2026年4月17日持续到5月31日——在Meta的安全团队发现并修补该漏洞前，攻击者已活跃利用了长达六周多 。

Meta的回应：紧急补丁和一次不完美的修复

漏洞被公之于众后，Meta的反应时间线相当迅速，但开局有些混乱：

• 2026年5月31日： Meta于当天发现并部署了紧急补丁 。
• 即时行动： 公司立即停用了有漏洞的HTS工具，使所有通过该有缺陷的工作流程生成的密码重置链接失效，并强制受影响账户通过一个包含强制重置密码的安全检查点 。
• 公关上的小插曲： 6月1日，Meta发言人安迪·斯通（Andy Stone）公开表示该问题“已经修复”。然而，到6月2日，仍有新的受害者（包括一些安全研究人员）报告说自己的账户被接管，这暗示了最初的补丁可能不完整，或者攻击者正在使用一个相近的变种手法 。
• 正式违规通知： Meta向缅因州总检察长办公室提交了一份数据泄露通知，确认全美共有20,225名用户受到影响 。
• 承诺的补救措施： Meta承诺先修复其电子邮件验证逻辑，然后才重新上线HTS，并对旗下所有平台中类似的账户恢复流程启动了一次全面审查 。

需要指出的是，此次事件需要与另一项在2026年6月8日被发现的漏洞区分开。那是一个独立的安全漏洞，存在于Instagram的网页版密码重置流程中，它暴露了每一位Instagram用户的完整电子邮箱和电话号码 。那个Bug与AI聊天机器人的逻辑缺陷无关，但两者出现在同一个新闻周期里，起初引发了人们对各起事件范围的混淆。

唯一的防线：多因素认证（MFA）

如果说这次重大泄露事件给我们留下了唯一一条可执行的教训，那就是多因素认证（MFA）的强大壁垒作用。即便是最弱的一种形式——基于短信的一次性验证码——也构成了一道无法逾越的屏障。这种说法来自攻击者自己，他们传播的消息中提醒了其他人，他们的技术“只对那些没有激活任何形式MFA的账户有效” 。这个密码重置漏洞允许攻击者仅凭新密码登陆；一旦需要提供第二个验证因素，他们就被彻底锁在了门外 。

对于任何高价值Instagram账号的持有者——无论是品牌方、公众人物，还是一个短用户名的拥有者——开启MFA（最好是使用硬件安全密钥或无密码登录密钥）仍然是抵御此类攻击最有效的安全措施。

更大的图景：AI即服务，AI即风险

“高接触支持”（HTS）事件为企业在面向客户的工作流程中快速部署自主AI智能体提供了一个警示。这个AI能够理解指令、执行任务，并且连接到了功能强大的后端系统。然而，它的部署方式缺少了对敏感操作所必需的确定性带外身份验证——而这却是人类客服必须例行遵守的一项基本安全要求。当各个组织争相将AI客服助手整合到支付系统、账户管理和敏感数据访问中时，Meta的案例提醒我们，没有身份验证的访问不是自动化，而是一扇敞开的大门。

未解之谜

• Meta是否已经在实现了承诺的身份验证修复后，重新启用了“高接触支持”（HTS）工具？如果已重新启用，其具体的架构变更是怎样的？
• 这20,225个被劫持的账户中，有多少已经成功地归还给了它们原来的主人？
• Meta进行的更广泛审查，是否在Facebook或WhatsApp的恢复流程中也发现了类似的身份验证漏洞？
• 美国太空军的账户是唯一一起政府相关的账户沦陷事件吗？还是有其他敏感账户也受到牵连，但没有被公开披露？

更正说明：本文的早期版本称攻击者绕过了双重身份验证（2FA）。实际攻击手法仅对未启用多因素认证（MFA）的账户有效；密码重置虽然让攻击者获得了新密码，但任何启用的第二验证因素都能成功阻止登陆 。