6月5日，404 Media报道称攻击者利用Meta的AI客户支持代理盗取Instagram账户。他们的方法很简单：要求代理将账户链接到他们控制的电子邮件地址，代理同意了。其中一名攻击者入侵了一个休眠中的奥巴马白宫账户，并发布了亲伊朗的帖子；其他攻击者接管了一些具有价值的单词句柄账户，可能是为了出售它们。AI网络安全问题并不新鲜。自从Anthropic在4月份宣布其Mythos模型过于优秀以至于无法向公众发布后，评论员、研究人员和联邦官员都集中在超级强大的AI系统可能摧毁我们计算机基础设施的想法上。然而，这次Instagram的黑客行为并不是这样：在这里，AI是目标，而不是攻击者，方法远比Mythos计划的简单。但随着公司将更多工作移交给AI，这些相对简单的攻击可能会造成自己的破坏。杜克大学电气与计算机工程教授Neil Gong表示：“随着AI的使用越来越广泛——尤其是当AI被越来越多地用于自动化我们的工作流程时，比如账户恢复——我认为攻击者会更加积极地攻击AI本身。” Gong和其他学者早已发出关于AI代理安全漏洞的警告。他们发表论文和博客文章，详细介绍了间接提示注入等漏洞，这涉及使用隐藏在网站、电子邮件或其他看似无害的数据源中的命令劫持代理。与这些技术相比，Meta的黑客事件几乎是无脑的。黑客唯一需要克服的复杂性是使用与真实账户所有者的所在地相匹配的VPN；然后他们直接要求支持代理更改账户的电子邮件地址，代理随即同意。Meta尚未就这一漏洞如何在漏洞中悄然落网作出公开评论。但Gong表示，考虑到这一漏洞的简单性，它应该在代理部署之前轻易被发现。“这真的很令人惊讶，”他说。“我不明白他们为什么没有发现这个简单的问题。”乔治城大学安全与新兴技术中心的高级研究分析师Jessica Ji也同意。“这引发了诸如：是否有任何保护措施在位？是否有人想过测试这种情况？”她指出，这种失误尤其显著，因为Meta公司在AI和网络安全方面拥有丰富的专业知识。Meta尚未回应本文章的评论请求，但周一，Meta发言人在X上表示，该漏洞已得到解决。尽管这对Meta来说可能是一个尴尬时刻，但它也突显了所有AI代理共用的一些核心脆弱性。与传统软件不同，代理可以以灵活和意想不到的方式响应新情况，这就是它们能够代替人类客户支持代理的原因。但AI代理也可以受到人类不会被愚弄的方式的欺骗，而因为它们能够采取现实世界行动，这些错误会产生后果。“人类会说，‘好的，为什么你想要更改电子邮件地址？’并可能用安全问题来回应，”威斯康星大学麦迪逊分校计算机科学教授Somesh Jha表示。“这些代理的表现是，它们非常渴望完成任务。这几乎就像某个小学学生只想取悦老师。”有一些方法可以降低风险。公司可以使用传统软件构建保护措施，以确保代理遵循严格的规则，例如在向新电子邮件地址发送敏感账户信息之前总是要求安全问题的答案。所有咨询本文的专家都一致认为，代理应接受严格的红队测试，这是一个开发人员尽最大努力攻击系统以发现其漏洞的过程。但是也存在相反的力量。公司希望部署能够的代理，代理拥有的能力越大——受到的保护措施越少——它能承担的工作就越多。“安全性和效用总是存在权衡，”伊利诺伊大学香槟分校计算机科学教授Bo Li表示。而且，适当的红队测试可能费用高昂。防御者在资源投入上必须大于攻击者，因为攻击者只需要发现一个漏洞，而防御者试图发现并修补尽可能多的漏洞。当攻击者追求诸如单词Instagram句柄这样的有价值目标时，他们会投入资源寻找漏洞，因此防御者必须花费更多资金来保护这一奖品。随着AI模型的不断改进，增强其防御能力实际上可能变得更加容易。尽管概率性质...