ZachXBT 和 Dark Web Informer 還證實了駭客如何瞄準並轉售特別有價值的 Instagram 帳戶,其中包括空頭帳戶 @hey 和 @jowo,據一位 CyberSec 專家稱,「灰色市場綜合估值估計超過 100 萬美元」。該安全部落格報導,即使駭客由於「槓桿、倒賣或品牌冒充」而只保留幾天,此類帳戶也可能很有價值。
廣泛的安全漏洞
CyberSec 專家也將該漏洞描述為電腦安全中典型的「混亂的惡習」問題,其中具有提升權限的程式被欺騙代表特權較低的第三方濫用這些權限。但在這種情況下,“佔位符”是一個大型語言模型,包含“可以用單字驅動的機率響應模型”,而不是包含“需要用代碼覆蓋的硬編碼條件”的“確定性程序”。
值得注意的是,即使聊天機器人利用 Meta AI 支持,用戶也可以使用簡單的安全解決方案。據 KrebsOnSecurity 稱,駭客報告稱,該漏洞針對任何啟用多重身份驗證 (MFA) 的帳戶均失敗,其中包括“Instagram 提供的不太穩健的 MFA 形式”,即通過短信發送一次性代碼的形式。
但這項漏洞仍然凸顯了更廣泛的風險,即科技公司和其他組織正急於部署具有更高權限的人工智慧代理,以允許他們修改、創建或刪除重要資料。 Meta 於 2026 年 3 月推出了 Meta AI 支援助手,並承諾它可以「隨時為幾乎任何支援問題提供可靠的 24/7 支援」。
一位網路安全專家表示,更安全地做到這一點所需的“最小”架構將包括“在任何帳戶修改之前進行帶外驗證……對與帳戶風險信號相關的人工智能發起的重置流進行速率限制、針對異常的基於人工智能的帳戶修改進行異常檢測的操作記錄,以及強化的確定性網關。”
發布日期: 2026-06-01 21:44:00
來源連結: arstechnica.com
