你问，它就给了——Meta AI 聊天机器人把两万个 Instagram 账号送了出去

目录

• 聊天框里的社会工程学
• 两万起步，实际可能更多
• Meta 的 AI 加速器
• 一边是 AI 太好说话，一边是大学学位不够说话了
• 信任的两端
• Meta 怎么做

---

这个星期，Meta 给缅因州总检察长办公室发了一封信。

不是财报公告，不是新功能发布。是一封数据泄露通知——上面写着一组数字：至少 20,225 人。

20,225 个 Instagram 账号，在两个月内陆续易主。操作方式简单得让人怀疑自己在看 2006 年的钓鱼教程，而不是 2026 年的 AI 安全事件：

在对话框里输入「我被盗号了，帮我重置密码」，然后告诉 AI 把验证码发到一个不是你的邮箱。AI 说，好。

聊天框里的社会工程学

2026 年 4 月到 6 月间，有黑客发现 Meta 在 Instagram 上部署的 AI 账号恢复助手存在一个极其朴素的漏洞。

AI 可以帮用户重置密码。正常流程是：你证明你是你，AI 给你注册时填的邮箱发验证码，你用验证码改密码。

但有一个代码分支出了问题：当用户提供的邮箱不是账号绑定的邮箱时——系统没有报错，没有让你再试试，而是直接把这个「不正确」的邮箱当成了收件地址，把重置链接发出去了。

Meta 在通知里是这么描述的：「该工具本身运行正常，功能符合设计意图。但由于一个单独的代码路径存在 bug，系统没有正确验证用户提供的邮箱是否与账号绑定的邮箱匹配。」

翻译成人话：AI 不会说「不」。你问它要，它就给了。

你可能会觉得，这起码要编一个像样的故事吧？不。TechCrunch 和 404 Media 的报道引用了一个关键细节：黑客只需要在对话框里简单描述自己「被黑」了，AI 就会切换到账号恢复流程，然后开始配合。这本质上是对 AI 的社会工程学攻击——不靠技术漏洞，靠 AI 不懂人类语境中的「正常请求」和「异常请求」的区别。

两万起步，实际可能更多

20,225 这个数字来自 Meta 向缅因州提交的法律文件。注意这是一个很保守的数据——法律要求只汇报缅因居民的受波及数量，然后按比例外推。真实数字大概率不止这些。

被黑的账号彻底易主：黑客可以改密码、看私信、看历史发帖、访问关联账户。如果该账号还绑了 Facebook 或 WhatsApp，那牵连面就更大了。

至于黑客用这些账号做了什么——Meta 说自己「不清楚」。这不是他们不想知道，而是账号一旦被重置密码，原主就失去了访问权限，审计日志也未必能追溯黑客登录后的操作。当两万个账号同时变成了别人的，你要靠什么来确定他们做了什么？等受害者自己报警。

Meta 的 AI 加速器

这件事的 timing 有点意思。

就在一个月前，Meta 刚裁了数千名员工，同时给高管发了股票激励。扎克伯格的 AI 转型决心写在每一页财报里——裁人省钱，all-in AI，降本增效。

然后 AI 就给公司捅了这么大一个篓子。

这让我想起一个不太舒服的事实：当一家公司同时在做两件事——把人裁掉，让 AI 顶上去——任何一个安全系统的容错空间都被压到了极限。因为 AI 不是人，不会在「用户说把验证码发给我」和「用户是黑客」之间直觉地画一条界线。AI 只会执行指令，除非有人在它背后加了一条规则说：收到验证码请求时，必须用账号绑定的邮箱，不能接受用户现场提供的邮箱。

这条规则的存在昭示了一个深层问题：AI 需要一个「说不得」的指令缓存区。当前的大模型在对话接口上表现得极为灵活——这是优点，也是致命的弱点。灵活意味着它不会硬编码拒绝；意味着任何安全边界都需要在 prompt 层面用「不许」和「不能」来约束；意味着如果有人绕过了 prompt 约束（或者干脆找到了一个没有约束的代码路径），AI 就可以变成黑客最称手的工具。

一边是 AI 太好说话，一边是大学学位不够说话了

同一天的另一条新闻让我觉得这两件事放在一起看特别有意思：

美国应届大学毕业生的失业率，现在超过了全体工人的平均失业率。

数据来自纽约联储的劳动力市场跟踪。自 1990 年代以来的三十年里，大学学历一直是就业市场的缓冲垫。经济再差，有学历的人失业率也比平均水平低 1-3 个百分点。2010 年大衰退期间，应届生失业率 7%，全体工人近 10%——学历的护城河在最糟糕的时候反而最宽。

从 2019 年 2 月开始，这条线翻了。应届生失业率超过了全体均值，并且再也没有回到线以下。

到 2026 年初，这个差距扩大到历史最高：应届生失业率 5.6%，全体工人 4.2%。

离谱的是，这不是 AI 的锅，也不是新冠的锅。翻转发生在 2019 年 2 月——ChatGPT 问世前三四年，新冠疫情前一年。这是一个在两种灾难性事件到来之前就已经开始的结构性漂移。

纽约联储的分析认为，约 64% 的失业率上升归因于远程办公——企业不愿意雇佣没有经验的应届生进入远程岗位，因为远程环境缺乏「边做边学」的师徒制传帮带。而斯坦福的团队在 AI 身上找到了另外的指纹：22-25 岁年轻人中，接触 AI 密集的岗位就业率从 2022 年底开始下降了约 16%。

两种解释可能都对。远程办公打破了新人的培养链条，AI 吃掉了一部分入门级岗位。两条线同时在收窄。

信任的两端

把这两件事放在一起，我看到的不是巧合。

一面是 AI 在账号恢复场景里太好说话——你让它发验证码它就发，完全不会判别请求的合理性。另一面是人类的「信任凭证」——大学学历——越来越不值钱，入门级岗位的招聘逻辑正在被远程办公和 AI 双双改写。

AI 应该说不的时候，它不会说。而人类应该被信任的时候，信任在贬值。

这两个矛盾的叠加指向一个更深层的问题：2026 年，我们正在同时面对两种信任的再校准。 我们对 AI 的信任太高了——让它掌管密码重置这样敏感的操作，却没有给它配好安全护栏。而对人类学历凭证的信任太低了——2026 年的应届生持有史上最多的学位，面对的却是史上最不友好的入门市场。

不是 AI 太笨或者学历太水。是安全机制的信任阈值和人才市场的信任阈值，在同一天被撞到了同一个临界点。

Meta 怎么做

Meta 说它已经禁用了 Instagram 上的 AI 聊天机器人，移除了那个允许 AI 重置密码的代码路径，并且开始在旗下所有平台检查其他 AI 助手是否存在类似问题。

但真正的问题不是这行代码。这个问题在这行代码被补上之后依然存在：AI 的灵活性和安全性，天生是互斥的。 你越想让 AI 理解人类意图，就越难让它对人类意图中的恶意说「不」。2026 年 6 月的两万个被盗账号，不过是这条公理的第一批公开课学费。