Meta旗下社交媒體平台Instagram近日爆出安全漏洞事件,黑客利用人工智能(AI)聊天機械人缺乏身份驗證機制的缺陷,獲取多個高知名度帳戶的訪問權限,再度引發外界對AI自動化帶來安全風險的擔憂。

據路透社(Reuters)周三(6月3日)報道,在此次資訊安全事件中遭波及的Instagram帳戶包括了已停用的奧巴馬(Barack Obama)白宮官方頁面、美妝零售商Sephora,以及一名美國太空部隊(U.S. Space Force)高級官員的帳戶。

Meta公司周一(6月1日)對此表示,相關安全問題已修復,公司正在對受影響帳戶採取安全保護措施。但未透露更多細節。

前Meta員工、安全研究員簡·黃(Jane Wong,音譯)表示,她的Instagram密碼在毫不知情情況下被更改,並收到了多次密碼重置通知。她指出,重新恢復帳戶訪問權限僅耗時5至10分鐘。

黑客利用AI客戶服務重置帳戶訊息

根據「404媒體」(404 Media)及多名安全研究員披露的訊息,黑客通過偽裝地理位置,並向Instagram AI客戶服務提出更改帳戶綁定郵箱的請求,成功誘導系統發送驗證碼及密碼重置超連結。

網絡安全專家指出,AI聊天機械人在未獨立核實用戶身份的情況下,即執行敏感操作,導致原本作為安全工具的客戶服務系統反而成為漏洞來源。

Meta發言人安迪·斯通(Andy Stone)則在社交平台X表示,有關漏洞被用於入侵多國領導人帳戶的說法「完全不符合事實」。

AI自動化安全問題再受關注

在此次安全事件發生之際,Meta正大舉推進人工智能戰略。公司此前已裁減數千名員工,並承諾未來數年投入最高1450億美元建設人工智能基礎設施。

網絡安全公司紅漂移(Red Sift)的聯盟與合作關係副總裁布萊恩·韋斯特奈奇(Brian Westnedge)表示,此次事件暴露出「根本性的架構失敗」。

他指出:「該模型被授予高權限操作能力,卻缺乏相應的權限控制機制。」

美國國家網絡安全聯盟(National Cybersecurity Alliance)資訊安全與公眾參與總監克利夫·斯坦豪爾(Cliff Steinhauer)表示,問題不僅在於人工智能本身,而在於企業是否對人工智能執行敏感任務設置足夠的安全保障。

專家警告類似攻擊或將增加

專家表示,隨著AI客戶服務與自動化代理被廣泛應用,黑客利用「提示詞注入」等方式操控人工智能系統的情況將更加頻繁。

此前,黑客曾利用類似手法,誘騙一家雪佛蘭(Chevrolet)汽車經銷商的人工智能聊天機械人,以1美元價格「出售」一輛塔霍(Tahoe)運動型多用途車。

美國東北大學(Northeastern University)電氣與電腦工程系教授恩金·科爾達(Engin Kirda)對此評論說,人工智能代理正逐漸成為黑客攻擊的新目標。他指出:「過去是人遭遇詐騙,如今則是人工智能代理本身可能成為被操控對象。」#

-------------------
局勢持續演變
與您見證世界格局重塑
-------------------

🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand

📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores