阿鬼
ChatGPT、Claude以至Google旗下Gemini等人工智能(AI)技術一直算是領先,Meta推出的AI技術一直未入主流,近日Meta AI客戶服務助理更驚現嚴重漏洞,成為黑客奪取用戶帳號的幫兇。多個Instagram知名帳號日前接連遭盜用,當中包括美國前總統奧巴馬(Barack Obama)時期的白宮帳號「@obamawhitehouse」、美國太空軍最高士官(Chief Master Sergeant of the Space Force)帳號,以及化妝品牌Sephora的官方帳號等。
黑客入侵的手法非常簡單,只需使用虛擬專用網絡(VPN)模擬目標用戶所在地區的網絡位址,即可避過系統的異常登入偵測。隨後,黑客會聯絡Meta於2026年3月推出的AI客務服務助理,訛稱帳號遭到入侵,並要求將帳號連結至由黑客控制的新電郵地址。由於該AI助手完全沒有核對新電郵是否曾與帳號關聯或真實性,便會直接向該新電郵發送驗證碼。黑客輸入驗證碼後,AI助理即會提供密碼重設連結,讓黑客取得帳號的完整控制權。AI雖然有時會要求對方提交一段自拍片段以核實身分,但門檻形同虛設,有人單憑將目標帳戶的公開相片,再加AI配合變成影片就成功過關。
最離譜嘅係,有關AI更有相當大的權限,可以徹底繞過原有的雙重認證(2FA)。黑客成功奪取帳號後,會即時更改連結的電郵及電話號碼,並強制登出所有已登入的裝置,期間系統不會發送任何電郵、短訊或推送通知。受害用戶無法自行啟動還原程序,更無法尋求真人客服協助,只能獨自面對AI聊天機械人進行無效投訴。Meta旗下產品的客戶服務支援一直奇差,就算你願意付最貴計劃申請Meta Verified仍然得不到需要的服務。今次竟然離譜到無需密碼、無需釣魚連結,亦無需植入惡意程式,只要開口叫AI將一個新電郵地址加到目標帳戶,再要求重設密碼,AI就會照做。
由於Instagram的簡短帳號名稱(handles)在黑市有價有市,價值可高達數十萬至數百萬美元,Telegram等平台上隨即湧現大量黑市群組,提供因今次漏洞而盜取帳號服務。有報道稱,Meta於較早前已修復有關漏洞。
