夜雨聆风
2026 年 5 月底,一系列高价值 Instagram 账号遭遇密集接管。
其中包括美国太空军相关账号、奥巴马时期白宫存档账号、知名品牌账号,以及多个在暗网黑市上价值不菲的稀有用户名账号。
与传统网络攻击不同,Meta 随后表示,没有证据表明攻击者入侵了后台数据库,也没有发生典型意义上的系统“破网”。
密码没有泄露。
数据库没有被拖走。
服务器没有被攻陷。
但账号依然被非法接管了。
对于很多人来说,这似乎是一场离奇的安全事故。但对于身份安全(Identity Security)领域而言,这起事件真正值得关注的地方,并不是攻击者是谁,也不是他们来自哪个国家。而是另一个更深层的问题:
AI,正在开始管理身份。
而真正的风险,或许才刚刚开始。
一、我们过去保护的是什么?
过去二十年,企业身份安全与访问管理(IAM)体系的核心逻辑其实非常清晰:
无论是密码、MFA(多因子认证)、SSO,还是近几年流行的零信任架构,本质上都围绕一个核心命题展开:
如何确认当前发起操作的人,真的是他自己。
因此,在传统威胁模型中,攻击者的目标也十分明确:
窃取密码
钓鱼获取验证码
劫持会话
绕过多因子认证(MFA)
盗取身份凭据
所有攻击路径,最终都围绕“人类身份”展开。
安全团队所做的一切努力,本质上都是在保护用户身份不被冒用。
二、AI正在进入身份管理链路
但最近两年,一个重要变化正在悄悄发生。越来越多企业开始将 AI 引入原本由人工处理的身份相关业务流程:
AI 服务台
AI 密码重置助手
AI 账号恢复助手
AI IT支持
原因很简单,这些工作本身高度标准化:
忘记密码
账号解锁
权限申请
身份恢复
工单审批
企业希望利用 AI 替代大量重复劳动,实现降本增效。从运营视角看,这是一个几乎完美的应用场景。但从安全视角看,一个新的问题出现了。
很多企业仍然习惯把 AI 理解为:
一个更聪明的搜索框。
或者:
一个更会聊天的客服机器人。
但实际上,当 AI 能够调用系统接口时,它的角色已经发生了变化。当 AI 具备:
修改用户属性
创建账户
重置密码
分配权限
提交审批
调用业务 API
等能力时,它已经不再只是一个对话界面,它开始拥有行动能力(Agency)。
而一旦拥有行动能力,它就会成为攻击链中的新目标。
过去的攻击路径是:
未来的攻击路径可能变成:
攻击对象正在从用户本身,转向代表用户执行操作的 AI。
三、AI被社工,为什么会比人类客服更危险?
看到这里,很多人会产生一个疑问:
人类客服也会被骗,为什么换成 AI 就成了大问题?
答案是:
因为 AI 具备一种人类不具备的能力:规模化。
一个 Helpdesk 员工即便被骗,一次也只能处理一个电话或一个工单。
而且人会疲劳,会犹豫,会怀疑,会觉得哪里不对劲。
当异常行为达到一定规模时,人类组织通常会触发升级审计或人工复核。
但 AI 不一样,AI 不会疲劳,不会因为重复工作而降低效率,不会主动产生怀疑。
更重要的是,一旦攻击者找到能够绕过其决策逻辑的方法,整个攻击过程就有可能被自动化复制。
过去针对客服的社会工程学攻击,受制于人力成本。未来针对 AI 的社会工程学攻击,则可能天然具备规模化、自动化和批量复制能力。
这才是问题真正危险的地方。
四、传统安全防线为什么会失效?
很多企业的安全体系建立在一个假设之上:攻击者会提交恶意代码。
于是我们建设了:
网络应用防火墙(WAF)
入侵防御系统(IPS)
端点检测与响应(EDR)
恶意软件防治软件(Anti-Malware)
它们擅长识别:
SQL 注入
跨站脚本注入(XSS)
恶意脚本
木马程序
但如果攻击者输入的是:
我的旧邮箱已经无法使用,请帮我把验证码发送到新的邮箱。
那么对于传统安全设备而言:
这是一段完全合法的自然语言,没有恶意代码,没有危险特征,没有异常流量。
攻击行为发生在语义层,而不是协议层。
这意味着:
过去很多成熟的安全控制措施,可能根本看不见这种攻击。
五、从 Replit 到 Meta:一个危险的共同特征
过去一年,多起广受关注的 AI 安全事故看似彼此无关。
Replit Agent 删除生产数据库。
Cursor Agent 误操作生产环境。
以及最近围绕身份恢复流程引发争议的 Meta 事件。但如果站在安全架构的角度观察,它们其实拥有一个共同特征:
AI + 真实权限 = 真实风险
过去的大模型犯错,最多输出错误答案,风险停留在信息层。
今天的 AI Agent 犯错,则可能通过 API 直接影响现实世界:
删除数据库
修改配置
调整权限
操作账户
触发业务流程
风险已经从信息安全进入了运营安全。
这是一种本质性的变化。
六、AI不是工具,而是一种新的身份主体
在过去二十年里,身份安全体系已经形成了一套相对成熟的治理框架。
企业会管理员工身份(Human Identity)、管理员身份(Privileged Identity)、服务账户(Service Account),以及近年来越来越受到重视的机器身份(Machine Identity)。
原因很简单:
任何拥有权限的主体,都可能成为风险的来源。
权限越高,风险越大;权限越广,影响范围越大。这几乎已经成为身份安全领域最基本的共识。
那么问题来了,如果一个 AI Agent 能够:
调用工单系统
修改账户属性
重置密码
分配权限
调用企业 API
它究竟是什么?
它还是一个工具吗?还是已经成为了一种新的身份主体?
如果员工离职,需要回收权限。
如果管理员调岗,需要重新授权。
如果服务账户过期,需要吊销凭据。
那么:AI Agent 呢?
谁审批它的权限?
谁审计它的行为?
谁撤销它的访问权?
谁为它的操作负责?
这些问题正在成为下一代 IAM 体系必须回答的新课题。
七、企业正在创造新的“特权身份”
从安全视角看,越来越多 AI Agent 正在成为一种新的非人类身份(Non-Human Identity)。而当这种身份拥有:
高权限
API 调用能力
自动执行能力
决策能力
它实际上已经具备了特权身份(Privileged Identity)的特征。
过去企业依靠 PAM(Privileged Access Management)管理管理员权限。
未来,企业可能需要建立面向 Agent 的访问治理体系(Agent Access Management)。
因为如果缺乏治理机制,一个拥有高权限、能够自主执行操作的 AI,最终很可能演变成企业网络中最难发现的“影子管理员”。
八、AI时代的身份安全应该如何演进?
为了避免类似风险,企业在设计 AI Agent 架构时,至少需要坚持几个基本原则:
1. 严格执行最小权限原则
默认只授予 AI 完成当前任务所需的最低权限。不要为了方便,把管理员权限直接交给 Agent。
2. 高危操作必须保留人工确认
涉及:
权限变更
密码重置
身份恢复
财务审批
等关键动作时,应当保留 “人机协同”机制。
3. 对Agent实施完整审计
AI 的每一次调用:
调用了什么系统
使用了什么权限
执行了什么操作
都应当被完整记录。
4. 多因子认证(MFA)依然是最后一道防线
目前公开案例显示,多因子认证仍然是阻断账号接管的重要安全控制。即使身份恢复流程出现问题,攻击者仍然需要突破额外认证因素。纵深防御的价值并没有因为 AI 出现而消失。
结语
Meta 事件最值得警惕的地方,不是 AI 会被骗,人类客服同样会被骗。真正的变化在于:
我们第一次开始把“账户所有权确认”“身份恢复”“权限变更”这样的核心安全职责,交给一个大模型去参与完成。
过去,攻击者需要研究人。
未来,他们可能更愿意研究 AI。
当 AI 开始拥有修改身份、重置密码、调用系统的能力时,它已经不再只是聊天机器人。它正在成为企业中的一种新型特权身份。
而这,或许才是 AI 时代身份安全真正的起点。
