事件背景
Instagram 在 2026 年上半年遭駭客攻擊。攻擊向量並非傳統密碼爆破或釣魚,而是利用 Meta 自家的 AI 客服聊天機器人。駭客通過這個自動化系統取得使用者帳號存取權限。Meta 在發現漏洞後聲稱已修復,但隨後發現駭客依然能透過其他路徑進行類似攻擊,導致需要針對受害者進行通知。
表象:為什麼「修復」沒有終止攻擊
首先看起來很直白——客服 AI 有漏洞、堵住就完了。但現實遠複雜:
1. AI 層與業務邏輯層的耦合:客服機器人不是獨立系統,它需要與帳號驗證、用戶資料庫、密碼重設流程等多個舊系統溝通。駭客可能不是攻擊 AI 本身,而是利用 AI 與這些系統之間的「翻譯錯誤」或「權限邊界模糊」。
2. 黑箱效應:深度學習模型本身難以完全審計。一個看似無害的輸入模式,可能在某個隱藏的模型層激活意外行為。修復一個已知的觸發方式,不代表所有觸發方式都被堵住。
3. 防守面積擴大悖論:加入 AI 客服本意是讓客戶服務更高效(防守面積變「聰明」),反而讓攻擊面從「密碼機制」這一個點,變成了「AI → 業務邏輯 → 資料庫 → 驗證機制」這整個鏈條。每一層都可能被穿透。
歷史類比
- **UNIX 設計哲學(1970s)**:Ken Thompson 的名言「Keep it simple」。最安全的系統不是最複雜、最聰明的系統,而是最容易理解、邊界最清晰的系統。加入 AI 聊天機器人的 Instagram 客服,在複雜度上向 UNIX 的反面走。
- **Windows 95 vs Linux 安全性**:Windows 系統因為向下相容性需求而疊床架屋,導致每個補丁都可能破壞其他地方。Linux 的模塊化設計雖然初期更複雜,但長期安全性更高,因為修改一個模塊影響範圍可控。
- **航天工業的冗餘設計**:NASA 航天器不用最新的晶片,而是用驗證過的舊零件——因為「新」意味著未知風險。同理,金融系統也更傾向用經年累月驗證的簡單機制,而非最前沿的 AI。
深層原因:複雜度的代價
John Gall 在 1975 年的《系統論》提出著名論斷:
> 一個複雜的系統若要運作,必然是從一個簡單的系統演化而來的。從零開始設計的複雜系統往往一上線就不能用。
更核心的是另一條:
> 系統的穩定性取決於它能否被完全理解。當系統超過人類認知邊界,它就開始失控。
Instagram 的 AI 客服攻擊事件正是這個定律的活教材。Meta 的工程師可能對單個模塊很熟,但沒人能 100% 掌握「AI 輸出 → 帳號驗證 → 權限授予」這整個黑箱流。所以當駭客找到一個缺口時,系統設計者無法迅速推演出所有其他可能的缺口在哪。
為什麼「修復一個漏洞、其他漏洞還存在」
在簡單系統中,漏洞通常是單點的:密碼機制有漏洞 → 強化密碼演算法。問題解決。
在複雜系統中,漏洞是 結構性的:
- 駭客攻擊的不是「AI 的某個參數」,而是「AI 設計者沒有預見的 AI 與外部系統的交互模式」。
- 修復「已知的交互漏洞」之後,駭客可以找其他方向的交互漏洞(比如透過不同的輸入序列、不同的語言、不同的帳號狀態等)。
- 每一個修復都增加了新的條件分支,而條件分支越多,邊界情況就越難窮舉。
商業現實與安全現實的衝突
Meta 加入 AI 聊天機器人的動機很合理:降低客服成本、提升使用者體驗、收集使用者交互資料來優化 AI。但這決定本身就在用安全交換效率。
一旦做出這個決定,後續的「修復」就變成了打地鼠遊戲。因為系統的本質設計——多層耦合、黑箱決策、邊界模糊——已經確定了。修復永遠是被動的、滯後的、不完全的。