信任陷阱：Meta AI 助手漏洞导致高管账号被窃，揭示 AI 智能体权限失控危机

Meta 近期遭遇的一起严重安全漏洞事件再次向技术界敲响警钟：其 AI 客服助手在缺乏有效监督的情况下，竟能直接根据请求更改用户的恢复电子邮件，导致大量高价值账户被黑客轻易接管。最令人不安的是，整个攻击过程在企业的安全运营中心（SOC）监控系统中完全透明——没有触发任何预警。

此次事件并非传统的提示词注入（Prompt Injection）或凭据窃取，而是一个典型的“权限过度”（Excessive Agency）架构问题。黑客利用 VPN 伪装成受害者的地理区域以规避位置警报，随后直接指令 AI 助手更改账户绑定的恢复邮箱并发送验证码。由于 AI 助手本身被定义为系统的“授权执行者”，它在执行更改密码和绑定邮箱等操作时，在身份与访问管理（IAM）日志中被记录为合法交易。这意味着所有的攻击行为都被伪装成了常规的系统维护流量，导致 EDR（端点检测与响应）、DLP（数据防泄露）和 SIEM（安全信息和事件管理）等防御栈全部失效。

被接管的账户包括知名美妆品品牌 Sephora、美国太空军高级领导者以及前白宫相关账号等高敏感目标。值得注意的是，开启了多因素认证（MFA）的账户成功幸免于难，但漏洞恰恰存在于“账户恢复路径”这一平行通道上。当系统要求提供自拍视频验证身份时，攻击者利用 AI 视频生成技术，将受害者的公开照片转化为足以欺骗 Meta 验证系统的视频素材。

安全专家将此模式称为“混淆代理”（Confused Deputy）——一个受信任的系统被诱导利用其高权限为攻击者服务。Simon Willison 等研究者指出，Meta 将整个账户恢复流程直接接入 AI 聊天机器人，实际上是给了一个能被轻易“说服”的代理人一把开启所有大门的万能钥匙。这在 OWASP 的 Agentic AI Top 10 风险清单中被明确定义为 LLM06（过度代理）和 ASI03（身份与权限滥用）。

对于企业而言，这不仅仅是 Meta 的个体事故，而是一个普遍的架构缺陷。当企业将 AI 智能体接入权限变更、资源配置或密码重置等关键工作流时，如果授权逻辑仅存在于大模型的对话层而非外部的硬性网关中，那么任何一个能够通过对话技巧绕过检查的 AI 助手都将成为最大的安全漏洞。真正的修复方案并非在登录界面增加更多的 MFA 提示，而是必须将授权决策从 AI 模型的“荣誉系统”中剥离，建立一个模型无法通过推理绕过的确定性审计网关，并确保 AI 的每一次写操作都能被 SOC 实时可见且可追溯。

来源： ventureBeat report