堆代码讯 人工智能本应是提升平台服务体验、强化运维效率的工具，却意外成为社交平台的安全短板。近期社交媒体曝光的一起安全事件引发行业热议：Meta推出的AI智能支持助手存在严重权限管控漏洞，被黑客恶意利用，批量窃取大量高知名度Instagram账号，暴露了AI自动化运维体系在身份核验环节的重大缺陷。

据了解，Meta于去年12月正式上线AI支持助手，初衷是为用户提供全天候自动化客服服务，简化平台账户操作流程。该智能工具涵盖举报欺诈、查询内容下架原因、重置账户密码等高频功能，旨在替代部分人工客服，提升用户问题处理效率。然而，正是便捷的密码重置功能，因缺失严格的安全校验机制，成为黑客入侵的突破口。这一高危漏洞于上周末在社交媒体被公开曝光，有用户完整演示了黑客盗取Instagram账号的操作流程。在实际攻击场景中，黑客直接指令Meta AI支持机器人修改目标Instagram账号的绑定邮箱，而AI系统未做任何严格身份核验，直接执行操作。一旦绑定邮箱被篡改，黑客便可顺势重置账号密码，彻底夺取账号控制权。

此次攻击能够轻易得逞，核心源于Meta账号验证体系的重大漏洞。Meta AI支持系统不仅未落实严谨的权属校验，还可在部分场景绕过账号双重验证机制。黑客的操作门槛极低，仅需通过VPN将网络位置切换至目标账号常用地区，即可骗过系统。据悉，Meta的账号安全体系高度依赖常用设备、熟悉地理位置作为核验依据，这一机制漏洞被黑客精准利用。即便是平台配备的自拍身份验证环节，也可借助AI技术轻松绕过，彻底瓦解了账号安全防线。

事实上，该漏洞早已被黑产团伙掌握。据404 Media报道，黑客团队自今年3月起就知晓并秘密利用这一漏洞牟利。随着上周末漏洞操作方式被公开演示，攻击门槛彻底透明化，短时间内Instagram账号被盗事件集中爆发，数量急剧攀升。安全研究人员透露，各类提供Instagram账号黑市交易的Telegram频道，借助该漏洞疯狂作案、获利颇丰，形成了成熟的黑色产业链。

在漏洞被公开曝光前，已有多个知名账号惨遭劫持，波及范围涵盖商业、军事、科研、公众人物等多个领域。其中包括美妆品牌丝芙兰账号、美国太空军首席军士长官方账号、研究员黄文欣、持有稀缺@albert用户名的开发者阿尔伯特·伦肖，以及已归档的巴拉克·奥巴马白宫官方Instagram账号。除此之外，大量持有热门稀缺用户名的普通用户，也陆续反馈账号被盗，权益遭受严重侵害。

漏洞曝光引发舆论危机后，Meta迅速启动应急修复工作，于上周末完成该安全漏洞的封堵。Meta传播副总裁安迪·斯通近日确认，相关问题已彻底解决，平台目前正针对受损账号开展保护性处置，全力保障受影响用户的账户安全。值得关注的是，此次漏洞不仅造成大规模账号失窃，还引发了后续的用户维权困境。不少在上周末遭遇盗号的用户陷入两难局面，既无法通过故障的AI客服系统找回自己的Instagram账号，平台也未提供人工客服对接渠道，用户维权无门，进一步放大了此次安全事故的负面影响。

此次事件为全球科技企业敲响警钟。AI自动化客服与运维工具已广泛应用于互联网平台，在追求服务高效化、智能化的同时，企业极易忽视权限管控与身份核验的安全边界。Meta此次AI漏洞暴露出智能系统权限过宽、风控逻辑单一、多重验证机制可被绕过等核心问题，也印证了AI技术落地过程中，效率优先的设计思路极易埋下安全隐患，为后续行业AI安全体系建设提供了重要警示。