15岁少年黑进万代南梦宫,用ChatGPT写脚本“清空”4万账号
大家好,今天不聊羊毛和配置,来扒一扒最近科技圈一个相当炸裂的新闻。
这件事发生在大厂万代南梦宫身上,但动手的不是什么顶级黑客组织,而是一个日本的15岁少年。最讽刺的是,这位“少年黑客”并没有从零开始一行行写代码,而是直接搬出了现在的当红炸子鸡——ChatGPT,让它帮忙写了个自动化脚本,一口气“送走”了4万多名用户的账号。
这听起来既荒诞又惊悚,但这正是现实版赛博朋克。今天我们就来拆解一下这起事件,看看他是怎么做到的,以及这对我们普通人有什么警示意义。
这事儿到底咋发生的?
AI生成的攻击代码脚本示意
事情的核心发生在万代南梦宫的一个流媒体服务平台上。简单来说,这位少年并不是像电影里那样敲击键盘破解防火墙,而是利用了平台业务逻辑上的一个巨大漏洞:
- 撞库与重置密码: 既然是流媒体平台,通常都需要账号登录。少年通过某种途径(大概率是以前泄露的数据库)掌握了大量用户的账号信息。
- 逻辑缺陷: 正常情况下,重置密码需要验证邮箱或者手机号。但该平台在处理账号注销或者重置流程时,存在极其脆弱的逻辑验证,或者根本没有对批量请求做有效的防护(比如没有CAPTCHA验证码,或者没有请求频率限制)。
- AI代写脚本: 这是一个关键点。以前干这种坏事,你得懂Python、懂Requests库,还得知道怎么写循环并发。但现在不一样了。这位少年直接把需求“喂”给了ChatGPT,让它生成用于批量发起请求的自动化脚本。AI生成的代码效率极高,直接让他在短时间内完成了海量操作。
结果就是,4万多名用户莫名其妙发现自己的账号没了,或者被重置了,场面一度非常混乱。
为什么这次攻击这么轻松?
网络安全攻防概念图
这件事暴露出的问题不仅仅是一个简单的漏洞,而是整个安全防御体系的落后。
1. AI降低了攻击门槛 以前写攻击脚本是有门槛的,你需要懂编程语法、调试逻辑。现在,大模型(LLM)的出现把这道门槛几乎踏平了。只要有想法,不懂代码的人也能让AI生成现成的“攻击武器”。这标志着网络安全进入了一个新的阶段:攻击者的水平不再受限于编程能力,而是受限于想象力。
2. 企业的防御思维还停留在旧时代 万代南梦宫作为大厂,居然能被一个简单的自动化脚本打穿,说明他们的风控系统压根没考虑到AI时代的攻击速度。如果他们有一套像样的行为分析系统,检测到同一个IP或同一个User-Agent在短时间内发起上万次请求,早就应该触发熔断机制了。显然,他们没有。
3. 业务逻辑的忽视 很多时候,企业把力气花在了防SQL注入、防XSS上,却往往忽视了最基础的业务逻辑安全。比如“注销账号”这种高危操作,居然能被轻易批量触发,这是产品设计上的巨大失败。
咱们普通人能学到啥?
作为普通网民和博主,这事儿给咱们提了个醒,尤其在这个AI满天飞的时代。
给开发者的建议: 如果你正在自己捣鼓网站或者APP,千万别太迷信传统的WAF(Web应用防火墙)。现在的攻击手段变了,你必须加上更细致的防护:
- 限流(Rate Limiting): 对所有API接口,特别是敏感操作(登录、注销、改密)进行严格的频率限制。
- 人机验证: 遇到异常必弹验证码,别嫌用户体验不好,账号被清空体验才更差。
- 日志监控: 实时监控异常流量,一旦发现AI脚本特征,直接封禁。
给普通用户的建议:
- 密码管理: 既然撞库依然猖獗,千万别再用一套密码走天下了。找个好用的密码管理器,不同平台不同密码。
- 开启两步验证(2FA): 这是最后的底牌。只要开了2FA,黑客就算拿到了你的密码,也干不了太多实质性破坏(除非该平台脑残地允许用验证码直接注销账号)。
写在最后
这个15岁少年的操作,虽然违法且造成了恶劣影响,但无疑给所有互联网公司上了一堂生动的课。AI时代,代码不再稀缺,稀缺的是对安全的敬畏和系统的健壮性。
技术本身是中立的,ChatGPT能帮你写代码修Bug,也能帮你写脚本炸后台。未来的网络安全博弈,大概率就是“AI攻击”与“AI防御”的对抗了。希望万代这次能长点记性,也希望大家能守好自己的数字资产。
这事儿你们怎么看?欢迎在评论区聊聊你的看法!

评论已关闭