黑客劫持超2萬個IG帳戶方法震驚網絡：有禮地叫Meta個AI搞掂就得

致命嘅關鍵在於，呢個AI聊天機械人，係直接被接駁到Meta內部稱為「高接觸支援」（High Touch Support, HTS）嘅帳戶恢復基礎設施，佢擁有直接更改帳戶關聯電郵嘅能力，而且完全唔需要經歷人類客服嗰啲多重身份驗證步驟 。個bot就真係照做，將黑客嘅電郵鏈接咗去目標帳戶。一旦電郵被改，攻擊者只需要觸發一次標準嘅密碼重置程序，就會喺自己個電郵信箱度，收到重置連結，跟住就直接攞到完整嘅帳戶權限。成個過程，雙重驗證完全冇被觸發過，因為攻擊者本身就已經控制咗帳戶嘅主要聯絡電郵 。

影響範圍同規模

由2026年4月17日到6月初，至少有 20,225 個Instagram帳戶 係透過呢個機制被盜 。Meta喺2026年6月5日向緬因州總檢察長提交嘅資料外洩申報文件中，確認咗呢個數字 。被劫持嘅帳戶名單相當驚人，包括：

• 奧巴馬時代嘅白宮官方存檔帳戶（@ObamaWhiteHouse）
• 美妝零售商 Sephora
• 一名美國太空軍高級官員嘅帳戶
• 大量喺灰色市場上有價有市嘅罕見單字元用戶名

據報，喺Meta於6月1日推出緊急修補程式之前，被盜帳戶已經被人以數千萬日元嘅價格轉售 。

點解會成功？

呢次唔係咩高深嘅漏洞攻擊。呢個係一個設計失誤。Meta嘅AI客服機械人被授予咗執行核心帳戶擁有權功能嘅權限——即係更改電郵地址同發起密碼重置——但成個流程冇任何確定性嘅授權檢查點，例如多重驗證確認、向原電郵發送站外驗證、或者人類審查 。正如一份分析報告概括：「個AI系統實際上係一個，為超過兩萬個IG帳戶而設嘅密碼重置後門」。

漏洞二：直接外洩用戶私人聯絡資料嘅密碼重置邏輯錯誤

第一單爆完唔夠一個禮拜，去到2026年6月6日，研究人員又喺Instagram嘅網頁版密碼重置流程入面，發現咗另一個好致命嘅邏輯錯誤 。正常嚟講，當用戶發起密碼重置，系統回應應該只會顯示部分打咗星號嘅恢復選項（例如 j***@example.com）。但當時嘅情況係，系統嘅回應數據入面，竟然直接包含咗個帳戶 未經遮蓋處理嘅完整電郵地址同電話號碼 。

乜嘢資料外洩咗？

呢個漏洞意味住，任何人只要觸發目標帳戶嘅密碼重置請求，就可以喺伺服器嘅回應數據入面，睇到帳戶持有人嘅完整電郵同電話號碼。研究人員仲用咗高知名度帳戶嚟實測，成功拎到以下人士嘅純文字聯絡資料：

• Meta行政總裁 朱克伯格（Mark Zuckerberg）嘅帳戶
• 模特兒 佐真娜·洛迪古絲（Georgina Rodriguez）

最令人擔心嘅係，風險遠不止針對性攻擊。不法分子可以大規模咁請求密碼重置，然後收集返嚟嘅純文字聯絡資料，就可以建立一個同Instagram個人檔案掛鉤嘅已驗證電郵同電話號碼數據庫。要留意嘅係，呢次事件，同2026年1月嗰單外部人士大規模觸發密碼重置電郵、但冇洩露底層資料嘅事件，性質係完全唔同嘅 。

極危險嘅疊加效應

呢兩個漏洞雖然喺技術上獨立，但同時出現，令到彼此嘅嚴重性以倍數級上升。一個攻擊者如果先透過AI提示注入攞到帳戶嘅初步權限，佢就可以再利用密碼重置邏輯漏洞，去獲取受害者嗰啲未被遮蓋嘅電郵同電話號碼。就算之後個帳戶被人成功修復拎返，攻擊者手頭上依然保留住受害者嘅私人聯絡方法，隨時可以透過社會工程學，或者喺其他平台玩SIM卡調換攻擊（SIM-swapping），嘗試再劫持多次 。

呢兩個漏洞喺同一星期內、針對同一班用戶群接連出現，反映嘅已經唔係個別工程師嘅失誤，而係一個系統性嘅安全架構問題。

更深層嘅安全憂慮：AI代理人成為高權限攻擊面

當中嘅提示注入攻擊，更加成為咗AI代理人安全領域嘅一個里程碑式案例，引發研究人員對大型平台如何構建AI整合架構發出強烈警告。

零確定性授權檢查點

最核心嘅失敗係架構性嘅：Meta賦予一個由大型語言模型驅動嘅聊天機械人，可以直接執行敏感帳戶變更嘅能力，但又唔畀返人類客服嗰啲授權護欄佢。成個流程冇多重驗證挑戰、冇向存檔嘅原始電郵發送確認、冇人類參與審查。個bot就只係跟住自然語言指令做嘢 。安全研究人員形容，呢種做法係將「便利」同「授權」混為一談——利用AI去「快進」一個本身存在就係為咗驗證身份嘅流程 。

AI變成密碼重置後門

Meta將AI直接駁入用戶管理API，等於唔覺意咁喺自己嘅帳戶恢復系統入面，起咗一道後門。呢次攻擊唔需要用傳統意義上嘅漏洞——冇SQL注入、冇OAuth代幣盜竊、冇憑證填充。呢個係一種信任邊界設計嘅失敗：公司假設咗個AI只會喺合法用途下使用佢嘅能力，但從來冇喺執行高權限操作之前，加入硬性嘅預認證檢查點 。

跨產品嘅系統性風險

專家警告，呢種將AI代理人直接駁入管理功能、而又缺乏確定性驗證嘅架構模式，如果喺Meta其他服務中被複製，或者被其他平台採用，將會成為一種系統性嘅漏洞。依家個核心問題已經唔再係「大型語言模型會唔會俾人用提示注入操控」，而係「點解當初會將鎖匙直接交到佢手上」。國際雲安全聯盟（Cloud Security Alliance）更加將呢次事件，記錄成一份標題為〈服務台劫持〉（Helpdesk Hijack）嘅研究報告，顯示安全界對呢種失效模式嘅重視程度 。

Meta做咗啲乜？

Meta喺2026年6月1日，亦即係漏洞被公開記錄嘅同一日，修補咗AI聊天機械人嘅漏洞 。公司確認咗呢個修復，但一開始冇透露受影響帳戶嘅數量；最終超過兩萬個帳戶嘅數字（20,225），係透過緬因州總檢察長嘅資料外洩申報文件先至曝光 。至於密碼重置邏輯漏洞，同樣已經被修復，但具體嘅修補時間線，喺公開報告入面就冇咁精確 。

大局觀：AI安全嘅轉捩點

呢兩單事件，代表住關於AI同網絡安全討論嘅一個轉捩點。咁多年嚟，提示注入一直被視為一種研究性質嘅新奇事物——主要係用嚟整蠱啲聊天機械人，令佢哋講啲尷尬嘢，或者繞過內容過濾器。但Instagram呢次攻擊顯示，當一個大型語言模型被賦予操控真實用戶帳戶嘅權力時，提示注入就會變成一件武器。依家每一個部署AI代理人嘅平台，都必須要面對一個問題：唔係「個bot會唔會俾人呃到」，而係「佢嘅功能權限，係咪應該受到一啲硬性嘅、非AI授權關卡約束，而呢啲關卡係冇可能靠把口就氹得開嘅」——無論攻擊者嘅態度幾咁有禮貌。