6月2日新闻，近日多名Instagram用户汇报账号被盗。据TechCrunch报路，攻击者疑似通过诱导Meta的人为智能客服谈天机械人，为指标账号增长新邮箱并重置密码，最终收受账号。

受影响账号蕴含已于2017年后停更的奥巴马时期白宫Instagram账号，以及美国太空军首席军士长约翰·本蒂维尼亚（John Bentivegna）的账号。安全钻研员黄珍妮（Jane Wong）也称自己的Instagram账号被收受，密码在她不知情的情况下被批改，并曾收到屡次密码重置尝试提醒。Instagram讲话人安迪·斯通（Andy Stone）随后在X上回复称，该问题已经建复。

黑客没有先攻破原邮箱

X上流传的一段视频展示了攻击步骤。依照TechCrunch的描述，攻击者疑似吓酌VPN假装成指标用户可能地点的地位，以降低触发Instagram自动化；せ斓母怕；随后打开Meta AI客服对话窗口，要求谈天机械人给指标账号增长一个新的电子邮箱地址。

关键问题出在后半段：谈天机械人向攻击者提供的新邮箱发送验证码，攻击者再把验证码回填给机械人，界面随后出现“重置密码”按钮。攻击者设置新密码后，就能进入指标账号。TechCrunch称，其验证了视坡凤显示的攻击者公开邮箱的确收到了验证码。

这意味着，攻击者不必要先节造受害者正本绑定的邮箱，也不必要拿到原密码。对通常用户来说，危险点不在于自己少做了某个安全设置，而在于平台客服流程把“增长新邮箱”和“重置密码」剽样高权限操作交给了一个可被诱导的自动化入口。

AI客服成了账号安全的幽微环节

自动化客服正本是为相识决找回账号、批改资料、降低人为成本等问题。它的指标通常是更快响应、更少期待、更少人为染指。但当谈天机械人可能触发账号复原、邮箱改绑、密码重置等作为时，它就不只是“答疑工具”，而成了账号安全链条里的守门人。

这起事务露出的不是单个用户密码太弱，而是平台复原流程的身份判断不及。攻击者只有说服客服系统相信“我是账号主人”，就可能绕过正本绑定邮箱和密码所提供的；。对使用Instagram经营幼我品牌、创作者主页、幼店或机构账号的人来说，账号一旦被收受，后续风险蕴含诳骗私信、垂钓链接、冒名颁布内容，以及利用账号诺言持续攻击联系人。

被劫持账号中出现白宫旧号和军方高层幼我账号，也让这件事超出了通常盗号领域。即便账号已经多年不活跃，仍可能由于名称、汗青身份和关注关系拥有社会影响力；一旦被盗，攻击者获得的不只是登录权限，还有一个看起来可信的传布入口。

建复之后，还短缺影响领域注明

Instagram方面已经称问题得到建复，但截至TechCrunch发稿，Meta未直接回应其置评要求，也没有公开注明到底有几多账号被不当接见、哪些复原流程被调整、是否会通知所有潜在受影响用户。

这对用户留下了一个现实问题：即便开启二步验证、定期更换密码，也无法齐全覆盖平台客服侧的复原缝隙。账号安全不再只取决于用户自己做得够不够好，还取决于平台是否把AI客服的权限天堑、身份校验和异常拦截做得足够严格。

AI能够替客服回覆问题，但一旦能替用户改邮箱、改密码，它就必须接受和人为高权限操作一致级此外安全约束。不然，最省事的入口，也可能造成最省力的攻击蹊径。（易句）

（本文由AI翻译，网易编纂掌管校对）