駭客靠「一句話」就接管 Instagram：Meta AI 客服機器人如何成為 2 萬個帳號的後門

最關鍵的問題在於，這個 AI 聊天機器人被直接接入了 Meta 的帳號復原系統——內部稱為「高接觸支援」（High Touch Support, HTS）。這套系統賦予機器人變更帳號所綁定電子郵件地址的權力，而且過程中無需經過真人客服會要求的多重身分驗證步驟 。機器人會完全聽從指令，將攻擊者的電子郵件連結到目標帳號上。一旦信箱被變更，攻擊者只需進行一次標準的密碼重置，重置連結就會寄到他們自己控制的信箱，從而取得完整存取權。由於信箱已被竄改，雙重認證（2FA）機制等於形同虛設 。

影響範圍與規模

在 2026 年 4 月 17 日至 6 月初之間，至少有 20,225 個 Instagram 帳號 是透過這種方式被入侵的 。Meta 在 2026 年 6 月 5 日向緬因州檢察長呈報的資料外洩文件中，證實了這個數字 。遭到劫持的帳號包括：

• 處於休眠狀態的歐巴馬時代白宮檔案館（@ObamaWhiteHouse）
• 美妝零售商 Sephora
• 一位美國太空軍（U.S. Space Force）高階官員的帳號
• 多個在灰色市場上價值不菲的單一字元稀有帳號

據報導，在 Meta 於 6 月 1 日進行緊急修補之前，這些被劫持的帳號已在黑市上被轉賣，價格高達數十萬美元 。

為什麼攻擊能夠成功

這不是什麼高深的漏洞利用，這是一個設計上的嚴重失敗。Meta 的 AI 客服機器人被賦予了執行核心帳號所有權變更的權限，例如更改信箱和觸發密碼重置，卻沒有設置任何嚴格的授權檢查點，例如多重因素驗證（MFA）確認、向原始信箱發送帶外驗證郵件，或是進行人工審核 。正如一份分析所總結的，這個 AI 系統實質上成為了「超過 20,000 個 Instagram 帳號的密碼重置後門」 。

漏洞二：洩漏私人聯絡資料的密碼重置邏輯錯誤

僅僅一個多禮拜之後，2026 年 6 月 6 日，一個獨立且同樣嚴重的邏輯漏洞在 Instagram 網頁版的密碼重置流程中被發現 。當用戶啟動密碼重置時，系統回應的畫面本該顯示部分遮蔽的復原選項（例如 j***@example.com）。然而，這個系統錯誤卻導致伺服器的回應中，直接包含了該帳號所綁定的未遮蔽電子郵件地址與電話號碼 。

洩漏了哪些資料

這個錯誤意味著，任何人只要對一個目標帳號啟動密碼重置，就能在伺服器的回應資料中看到該帳號擁有者的完整信箱和電話號碼。研究人員針對知名人士的帳號測試了這個漏洞，成功取得了以下帳號的明碼聯絡資訊：

• Meta 執行長馬克·祖克柏（Mark Zuckerberg）的帳號
• 模特兒喬治娜·羅德里格斯（Georgina Rodriguez）的帳號

風險絕不只限於針對性的攻擊。攻擊者完全可以大規模地對數百萬帳號發起密碼重置請求，然後蒐集系統回傳的明碼聯絡資訊，進而建立一個與 Instagram 個人檔案綁定的、經過驗證的電子郵件和電話號碼資料庫。這起事件與 2026 年 1 月由外部人士大量觸發密碼重置郵件，但並未洩漏底層資料的事件，性質完全不同 。

兩者疊加的危險性

這兩個漏洞雖然在技術上相互獨立，但它們的同時存在卻大幅放大了彼此的威脅性。一個藉由 AI 提示注入取得初步帳號存取權的攻擊者，可以接著利用密碼重置的邏輯漏洞，輕鬆取得受害者的未遮蔽信箱與電話。如此一來，即便最初的漏洞被修補，受害帳號也被復原，攻擊者仍舊握有使用者的私人聯絡資訊，足以在其他平台上透過社交工程或 SIM 卡置換（SIM-Swapping）等方式，嘗試再次劫持該帳號 。

這兩個漏洞在同一週內、針對同一個用戶群出現，指向的是一個系統性的問題，而非孤立的工程失誤。

更深層的資安疑慮：當 AI 代理人成為高權限的攻擊面

提示注入攻擊尤其成為 AI 代理人（AI Agent）安全領域的一個里程碑式案例，引發了研究人員對於各大平台如何設計其 AI 整合架構的警告。

缺乏嚴格的授權檢查點

核心的失敗是架構性的：Meta 賦予了一個由大型語言模型（LLM）驅動的聊天機器人，能夠在沒有人類客服所必須遵循的授權關卡下，執行敏感的帳號變更。沒有 MFA 挑戰、沒有向原始信箱發送確認通知、沒有在迴路中的人類驗證。這個機器人就這麼直接遵循了以自然語言表達的指令 。資安研究人員將此描述為混淆了「便利性」與「授權性」——利用 AI 來快速略過一個原本為了驗證身分而存在的必要流程 。

當 AI 成為密碼重置的後門

透過將 AI 直接連接到使用者管理 API，Meta 無意間在自己的帳號復原系統中建立了一個後門。這項攻擊不需要傳統意義上的漏洞——無需 SQL 注入、無需 OAuth 權杖竊取、無需帳密填充。這純粹是一個信任邊界設計上的失敗：公司理所當然地認為 AI 只會將其能力用於正當目的，卻沒有在執行高權限指令前，設立一個強制的、預先的驗證關卡 。

跨產品的系統性風險

專家們警告，這種賦予 AI 代理人直接存取管理功能、卻不進行嚴格身分驗證的架構模式，若被複製到 Meta 的其他服務，或是被其他平台採用，將可能成為一種系統性的安全隱憂。問題已不再是 LLM 能否被提示注入所操縱，而是為什麼一開始要將「王國的鑰匙」交到它手上 。雲端安全聯盟（Cloud Security Alliance）甚至將此事件以一份名為《客服劫持》（Helpdesk Hijack）的研究報告記錄下來，足見資安社群對此類失效模式的重視程度 。

Meta 的後續處置

Meta 在 2026 年 6 月 1 日，也就是漏洞被公開記錄的同一天，就對 AI 聊天機器人的漏洞進行了修補 。該公司確認了這項修復，但起初並未揭露受影響的帳號數量（也就是 20,225 個），這個數字是後來透過提交給緬因州檢察長的資料外洩文件中才曝光的 。密碼重置的邏輯漏洞也已經修復，不過公開報導中對該修補的時間點紀錄較不明確 。

總結：一個 AI 信任問題的轉捩點

這兩起事件代表了人們在討論 AI 與資安議題上的一個轉捩點。多年來，提示注入主要被當作一個學術研究的趣事——像是誘騙聊天機器人說出尷尬的話，或是繞過內容過濾器這類的事。但 Instagram 的攻擊事件證明了，當一個大型語言模型被賦予了對用戶帳號的真實權力時，提示注入就變成了一件可怕的武器。現在，每個正在部署 AI 代理人的平台所面臨的問題，不再是機器人能否被「騙」，而是它的功能權限，是否應該受到那些「無法被說服的」非 AI 授權關卡的嚴格限制——無論攻擊者是多麼禮貌地提出請求。