#安全资讯 新时代版掩耳盗铃：Instagram AI 漏洞并未被修复，只是从前端隐藏界面而 API 端点仍然可用，于是黑客继续利用 AI 漏洞盗取账户。在 Meta 声称修复漏洞后，Meta 自家的产品管理总监 Instagram 账号也被盗，另一名逆向工程师的账号也被盗，并且还被解绑 2FA 验证。目前 Meta 尚未发布回应。查看详情：https://ourl.co/113272

早前有安全研究员爆出社交媒体集团 Meta 旗下的 Instagram 出现重大安全问题，该平台使用的 AI 账户恢复助手存在逻辑漏洞，黑客可以直接与 AI 账户恢复助手对话要求重置特定账户的密码并将绑定邮箱修改到黑客控制的邮箱，整个过程 AI 账户恢复助手不会要求发起者进行任何验证。

黑灰产团伙主要瞄准高价值的 Instagram 账户，这些账户使用的用户 ID 通常非常短，黑客通过劫持这些账号并转售获得超过 100 万美元的非法收益，被安全研究员曝光后 Meta 发布消息称已经修复漏洞，并且正在处理被盗的账户。

修复方法是在前端界面隐藏 AI 助手：

在 Meta 称已经修复漏洞后仍然有用户账户被盗，就连 Meta 自己的产品管理总监 Esther Crawford (曾任 X/Twitter 产品管理总监) 的 Instagram 账号都被黑客盗取，为什么会发生这种问题呢？因为 Meta 压根没有修复漏洞，只是简单的将 AI 账户恢复助手从前端页面隐藏。

有经验的黑客很容易发现 AI 账户恢复助手 API 端点仍然可以访问，所以黑灰产团伙直接搭建 Telegram 机器人和脚本工具可以通过 API 与 AI 账户恢复助手进行交互，这个过程甚至要比从前端界面手动访问更简单，也就是整个操作效率更高，让黑灰产团伙可以以更快的速度盗取更多账户。

整个攻击过程不涉及 Meta 的数据库、后端服务器或漏洞利用，仅仅只是利用 AI 账户恢复助手的高权限逻辑问题，即 Meta 赋予 AI 账户恢复助手太高的权限，但却没有做好提示词攻击防护，因此黑客可以通过提示词诱导 AI 账户恢复助手配合黑客重置特定账户的密码和绑定的邮箱。

启用 2FA 验证也无法避免被盗：

在之前的报道中蓝点网提到如果用户账户已经绑定 2FA 验证则无法被盗，因为 AI 账户恢复助手不能直接绕过 2FA 保护。不过现在来看情况可能有些区别，在 Meta 宣布修复后，著名逆向工程师 Jane Manchun Wong 的账号也被盗，她的账号本身已经启用 2FA 验证。

由此来看 AI 账户恢复助手重置邮箱后或许也能解绑用户已经绑定的 2FA 验证，通常直接通过邮箱是无法解绑 2FA 的，估计又是黑客使用某种提示词诱导 AI 账户恢复助手解绑账户 2FA 验证，所以现在情况非常混乱，而 Meta 还未发布任何信息回应这件事。