泉源：绿营派系博弈白热化作者： 郑丽青：

黑客诱导Meta AI客服改绑邮箱，，，，，，多名Instagram账号被接受

6月2日新闻，，，，，，克日多名Instagram用户报告账号被盗。
。。。据TechCrunch报道，，，，，，攻击者疑似通过诱导Meta的人工智能客服谈天机械人，，，，，，为目的账号添加新邮箱并重置密码，，，，，，最终接受账号。
。。。

受影响账号包括已于2017年后停更的奥巴马时期白宫Instagram账号，，，，，，以及美国太空军首席军士长约翰·本蒂维尼亚（John Bentivegna）的账号。
。。。清静研究员黄珍妮（Jane Wong）也称自己的Instagram账号被接受，，，，，，密码在她不知情的情形下被修改，，，，，，并曾收到多次密码重置实验提醒。
。。。Instagram讲话人安迪·斯通（Andy Stone）随后在X上回复称，，，，，，该问题已经修复。
。。。

黑客没有先攻破原邮箱

X上撒播的一段视频展示了攻击方法。
。。。凭证TechCrunch的形貌，，，，，，攻击者疑似先用VPN伪装成目的用户可能所在的位置，，，，，，以降低触发Instagram自动化；；せ频母怕；；随后翻开Meta AI客服对话窗口，，，，，，要求谈天机械人给目的账号添加一个新的电子邮箱地点。
。。。

要害问题出在后半段：谈天机械人向攻击者提供的新邮箱发送验证码，，，，，，攻击者再把验证码回填给机械人，，，，，，界面随后泛起“重置密码”按钮。
。。。攻击者设置新密码后，，，，，，就能进入目的账号。
。。。TechCrunch称，，，，，，其验证了视频里显示的攻击者果真邮箱确实收到了验证码。
。。。

这意味着，，，，，，攻击者不需要先控制受害者原本绑定的邮箱，，，，，，也不需要拿到原密码。
。。。对通俗用户来说，，，，，，危险点不在于自己少做了某个清静设置，，，，，，而在于平台客服流程把“添加新邮箱”和“重置密码”这样高权限操作交给了一个可被诱导的自动化入口。
。。。

AI客服成了账号清静的薄弱环节

自动化客服原本是为相识决找回账号、修改资料、降低人工本钱等问题。
。。。它的目的通常是更快响应、更少期待、更少人工介入。
。。。但当谈天机械人能够触发账号恢复、邮箱改绑、密码重置等行动时，，，，，，它就不但是“答疑工具”，，，，，，而成了账号清静链条里的守门人。
。。。

这起事务袒露的不是单个用户密码太弱，，，，，，而是平台恢复流程的身份判断缺乏。
。。。攻击者只要说服客服系统相信“我是账号主人”，，，，，，就可能绕过原本绑定邮箱和密码所提供的；；。
。。。对使用Instagram谋划个人品牌、创作者主页、小店或机构账号的人来说，，，，，，账号一旦被接受，，，，，，后续风险包括诈骗私信、垂纶链接、冒名宣布内容，，，，，，以及使用账号信誉继续攻击联系人。
。。。

被挟制账号中泛起白宫旧号和军方高层个人账号，，，，，，也让这件事凌驾了通俗盗号规模。
。。。纵然账号已经多年不活跃，，，，，，仍可能由于名称、历史身份和关注关系具有社会影响力；；一旦被盗，，，，，，攻击者获得的不但是登录权限，，，，，，尚有一个看起来可信的撒播入口。
。。。

修复之后，，，，，，还缺少影响规模说明

Instagram方面已经称问题获得修复，，，，，，但阻止TechCrunch发稿，，，，，，Meta未直接回应其置评请求，，，，，，也没有果真说明究竟有几多账号被不当会见、哪些恢复流程被调解、是否会通知所有潜在受影响用户。
。。。

这对用户留下了一个现实问题：即便开启二步验证、按期替换密码，，，，，，也无法完全笼罩平台客服侧的恢复误差。
。。。账号清静不再只取决于用户自己做得够不敷好，，，，，，还取决于平台是否把AI客服的权限界线、身份校验和异常阻挡做得足够严酷。
。。。

AI可以替客服回覆问题，，，，，，但一旦能替用户改邮箱、改密码，，，，，，它就必需接受和人工高权限操作同品级别的清静约束。
。。。否则，，，，，，最省事的入口，，，，，，也可能酿成最省力的攻击路径。
。。。（易句）

（本文由AI翻译，，，，，，网易编辑认真校对）