Meta 推出的 AI 客服支援助理日前驚爆重大安全漏洞 (Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked),導致大量 Instagram 高價值帳號慘遭駭客輕易接管。這項原意是為了協助使用者進行帳號復原與密碼重設的 AI 服務,反而成為駭客繞過安全機制的捷徑。駭客只需透過特定的提示詞操縱 AI 助理,就能在完全沒有通過嚴格身分驗證的情況下,要求系統將密碼重設連結直接發送到駭客指定的電子郵件信箱。
受害者名單甚至包含了前白宮官方帳號、高階軍官以及眾多在黑市價值連城的短帳號。這次事件隨後也在社群網路上引發受害者與苦主的熱烈討論,紛紛揭露自身帳號被盜的慘痛經驗,暴露出企業在急於引進生成式 AI 技術時,忽略了底層架構安全所帶來的嚴重漏洞。
TechCrunch 這篇也詳細拆解了駭客如何利用 VPN 偽裝地理位置,並透過提示詞誘騙 AI 客服更改綁定信箱的完整攻擊步驟。
CyberQ 指出,從資訊安全工程與系統合規的角度來審視這次事件,除了提示詞注入攻擊要留意外,背後更隱藏了嚴重的權限設定與架構缺陷。從受影響的行為模式來看,這個功能在實作上非常像是內部研發團隊將尚未完全開發完成、也尚未經過嚴密安全驗證的功能,過早且大意地開放到了公開環境之中。
就長遠的產品規劃而言,透過 AI 對話視窗讓使用者以自然語言執行帳號的修改與設定,確實是提升使用者體驗的理想方向。然而,這類涉及敏感個人資料與帳號核心控制權的重大功能,在架構設計上絕對不應該直接暴露在外部的公開對話介面中,更不能讓允許非帳號擁有者的外部對話來觸發或執行。
這次事件的核心問題在於,Meta 的開發團隊在權限隔離與上下文檢驗上出現了巨大的防護破洞。當一個 AI 助理具備修改帳號核心設定的權力時,後端系統必須嚴格落實對象層級的存取控制。但在這個案例中,系統似乎完全信任了 AI 所傳遞的修改指令,而沒有在後端執行二次驗證,去確認發起對話的使用者是否真的擁有該帳號的合法管轄權。
這種水平權限越權的架構錯誤,讓駭客得以利用另一個完全無關的帳號對話視窗,去操控並修改不屬於自己的帳號資料。即便是受害者本身已經啟用了雙因素身分驗證,在後端權限徹底失守、AI 權限過大且缺乏防禦縱深的情況下,傳統的安全防禦線也完全失去了保護作用。
CyberQ 觀察,鑑於近期許多技術團隊在將大型語言模型整合至內部業務流程或開發 AI 代理人時,往往過度專注於提示詞的最佳化與對話流暢度,卻忽略了 AI 本身並不具備資安合規與權限判斷的能力。CyberQ 建議,安全防護的黃金法則永遠是不可信任任何來自前端或 AI 本身的指令。企業在設計此類自動化服務時,必須在後端建立堅固的防火牆與嚴格的存取權限驗證機制,將 AI 的功能權限限縮在極小化的安全範圍內,並確保所有敏感操作都必須經過當事人的確認,或至少落實 Human-in-the-Loop (HITL) 這件事情比較好,才能避免這類將半成品功能提前暴露而導致的災難再度上演。
