Meta 公司 6 月 5 日发布安全公告,确认过去三个月内有数千个 Instagram 商业账号被攻击者通过滥用其 AI 客服聊天机器人 Meta AI Concierge 入侵。攻击者利用该机器人对外部插件的权限校验漏洞,获取账号管理权限后劫持广告投放系统,单起事件最高造成 50 万美元广告费损失。这是 Meta 旗下 AI 产品首次出现规模化安全事件。

漏洞的技术原理是 Meta AI Concierge 在 3 月份更新后接入了第三方插件市场,允许商家通过对话让 AI 自动调用广告优化插件。但插件权限校验接口没有正确隔离用户上下文,导致攻击者构造特殊 prompt 可以读取其他商家的会话状态,这种攻击在业内被归类为间接 prompt injection 的一种变体。
图1是漏洞利用的会话流程示意,攻击者通过连续 7 轮对话逐步提升权限,最终获取目标账号的广告 API token,整个攻击过程平均耗时 12 分钟,具备较高的时间效率。
受影响账号主要集中在北美、欧洲、东南亚三个区域,以电商和本地服务类商家为主。攻击者利用劫持的广告账号投放钓鱼广告,推广伪装成 ChatGPT、Claude 官网的钓鱼站点,进一步窃取用户凭证。安全公司 Mandiant 估计整个攻击链可能影响 1.2 亿 Instagram 用户,实际数字仍在评估中。

图2展示了 5 月份被劫持账号投放的钓鱼广告样本,广告主显示为受害商家但落地页指向恶意域名,部分广告还假冒了 Meta 官方的品牌验证标识,普通用户极难识别。
Meta 已在 5 月 31 日推送补丁修复权限校验问题,并对所有受影响的商家提供最多 10 万美元的广告费补偿。但安全研究人员指出,类似的插件权限隔离问题在 AI Agent 领域是普遍挑战,根本原因是大多数 LLM 应用没有正确实施 capability-based security 模型,也没有对 prompt 内容进行充分净化。

图3是 Meta 安全团队发布的攻击者活动时序图,首次攻击可追溯到 3 月 22 日,攻击者使用的基础设施位于东欧和东南亚,目前 Meta 已经与多国执法部门启动联合调查。
事件给整个 AI Agent 行业敲响警钟。随着 OpenAI、Anthropic、Google 等公司陆续推出可调用外部工具的 Agent 框架,插件市场的安全治理成为新挑战。目前主流厂商普遍采用 OAuth 2.1 + 沙箱执行,但对于跨商家上下文隔离、prompt injection 防御等场景仍缺乏成熟方案,急需行业共同制定安全标准。
Meta 表示将在 7 月份发布一份完整的事故复盘报告,详细披露漏洞技术细节和修复路径,供行业参考。OpenAI 和 Anthropic 的安全团队也已经联系 Meta,要求获取相关技术情报以排查自家产品中是否存在类似风险点。
OpenClaw—AI研究