AI 工具链三重危机：Meta 账号被劫、Codex 令牌遭窃、ECB 向银行发紧急警告

三件本周发生的事，读完你会发现它们指向同一个问题。

Meta AI 客服被说服，交出了奥巴马白宫的账号

6 月 2 日（周末），不明身份的黑客攻破了数十个 Instagram 高知名度账号，包括奥巴马白宫的归档页面、美妆零售商 Sephora，以及一位美国太空部队高级官员的账号。他们用的手段不是暴力破解密码，而是和 Meta 的 AI 客服聊天。

AI 聊天机器人被说服后，在没有独立核实身份的情况下重置了账号凭据——黑客在 5 到 10 分钟内得手，账号持有人甚至不知道密码已经被更改。安全研究员、前 Meta 员工 Jane Wong 的多个账号也在这次攻击中被夺走，她说自己收到了大量重置请求通知，但密码已经在她不知情的情况下被替换。1

这类攻击被安全研究者称为「提示注入」（Prompt Injection）——通过精心设计的输入语言操控 AI 模型的行为，绕过其预期的安全限制。

网络安全公司 Red Sift 副总裁 Brian Westnedge 的评价直接：「这是一次基础架构失败。模型被赋予了特权操作，却没有相应的访问控制。」1

事件曝光后，Meta 股价单日跌超 5%。公司在周一表示问题已解决，但拒绝透露更多细节。

这不是孤立案例。东北大学教授 Engin Kirda 描述的转变值得停留一秒：「过去，人被骗局攻击；现在，AI 代理被骗局攻击。」随着越来越多企业用 AI 代理处理账号管理、客服、身份核验等高权限任务，攻击目标从人转向了人造助手。

OpenAI Codex 的认证令牌，在你不知情的情况下已经被偷了一个月

npm 包 codexui-android 看起来是个体面的工具：它是 OpenAI Codex 的一个远程 Web UI，有真实的 GitHub 仓库、活跃的提交记录，最高时每周被下载 2.7 万次。开发者们把它装进自己的工作流，完全不知道它在做什么。

从版本 0.1.82 起，这个包在每次启动时都会读取本地的 ~/.codex/auth.json，把里面的 access_token、refresh_token、id_token 和账号 ID 整包打包，用 XOR 加密后上传到攻击者控制的服务器 sentry.anyclaw.store/startlog。之所以用 sentry. 前缀，是为了让开发者在监控网络流量时以为这是 Sentry 错误追踪的正常回调。2

Aikido 安全研究员 Charlie Eriksen 在源码里找到了攻击者留下的注释，毫不掩饰：// Send tokens to our startlog endpoint (always, independent of Sentry)。

窃取的内容里最危险的是 refresh_token：它不会过期。持有它的攻击者可以在你毫不知情的情况下，无限期地以你的身份访问 Codex。

这个恶意代码只存在于发布到 npm 的版本里，GitHub 仓库是干净的。审计了源码也不会发现问题。2

The Hacker News 将此次事件归类为供应链攻击：「Codex tokens were exfiltrated via a popular npm package, affecting users since v0.1.82 and enabling persistent account access.」3

同一个作者还在 Google Play 上发布了两款应用（其中一款累计下载超过 1000 万次），这两款应用在启动时都会自动拉取这个恶意 npm 包。渗透面远不止在命令行使用 Codex 的开发者。

ECB：前沿 AI 模型改变了网络威胁的基本经济结构

6 月 3 日，欧洲中央银行（ECB）执行委员会成员 Frank Elderson 在高盛欧洲金融业大会上发表讲话，随后 ECB 将向受监管的所有银行 CEO 发出「亲爱的 CEO 信」（Dear CEO letter），要求采取主动措施保障系统安全。

Elderson 的核心判断简明：前沿 AI 模型不是「又一次渐进式进步」，而是网络风险经济结构的结构性转变。以 Mythos 这类模型为例，它们能以过去无法想象的速度和规模发现并利用漏洞，能把多个看似无害的小漏洞组合成重大攻击，甚至能反向工程补丁，从已修复的代码里重新挖出可利用的漏洞——速度同样史无前例。4

这意味着什么？漏洞利用的门槛在降低。过去需要深厚技术功底、数周准备才能发动的攻击，将来可能被更多、更低门槛的行为者在更短时间内完成。ECB 数据显示，关键漏洞的利用窗口已被 AI 压缩到数小时，但银行修补关键漏洞的中位时间仍在 43 天。5

Elderson 借用音乐术语描述了这种紧迫感：「以前 andante（慢板）或许够用，现在必须切换到 presto（急板）。」4

与此同时，两天前，特朗普签署了题为「推动先进人工智能创新与安全」的行政令，要求领先 AI 开发商在发布最强能力模型前，自愿将其提交给美国政府进行为期最多 30 天的网络安全测试。谷歌、Anthropic、OpenAI 均表态支持。这是特朗普政府在 AI 监管上罕见的主动介入——他执政以来一直对联邦科技监管持不干预立场。6

把三件事放在一起看，共同点清晰：

Meta 的 AI 客服被赋予了重置账号的权限，但没有与之匹配的身份验证机制
Codex 工具链上的恶意包可以读取本地 AI 认证文件，而这些文件以明文存储
ECB 担心的，是 AI 模型现在有能力快速发现和利用系统中那些「被容忍太久的弱点」

AI 工具在与系统深度集成时，往往需要接触高权限的凭据或数据。当这条链路上任何一个环节被渗透，攻击者获得的不只是一次访问机会，而是持续的、无声的控制能力。

明文在哪里，风险就在哪里

Codex 供应链攻击暴露了一个极具代表性的问题：AI 推理过程中产生的认证令牌、中间状态和用户数据，当它们以明文形式存在于本地文件系统或内存时，任何一个被污染的工具链节点都可以读取它们。auth.json 文件里有什么，攻击者就能拿走什么。

荆华密算的核心技术——密态推理——从架构层处理这个问题：AI 模型在加密状态下完成整个推理过程，明文数据不在任何可访问的内存空间出现。对于企业而言，这意味着即使工具链上的某个环节遭到渗透，攻击者从 AI 系统侧能接触到的，也只是加密后的密文——而不是用户原始数据或可以凭空复用的认证状态。

ECB 的「亲爱的 CEO 信」即将落地。银行、金融机构以及大量依赖 AI 推理服务的企业，正在被推入一个新的合规与安全评估周期。在这个周期里，「AI 系统在处理数据时，明文是否出现在可访问位置」将成为审计中越来越具体的问题。

荆华密算全链路密态 AI 助手的内测（2026 年 6 月 1 日起向首批 200 名用户开放），在 Codex 事件曝光后不到两周的时间点，把这个问题从技术讨论变成了可以立刻体验的产品回应。

本文核心来源：Reuters（2026-06-03）、Aikido Security Research（2026-05-27）、ECB Executive Board Speech（2026-06-03）、Reuters — Trump EO（2026-06-02）