Meta內部Agent失控升級：首個Sev 1級事故曝光，系統數據裸奔了兩小時

整理 | 華衛

Meta 員工又被 AI Agent“坑”了，這次事兒還不小。

近日，Meta 內部的一款 AI Agent 出現“失控”行為，向無訪問權限的大批員工泄露了公司系統級的敏感數據。目前，Meta 已確認了這一事件的真實性。

1 權限失控兩小時，事故等級靠“僥幸”

事情發生在上周，Meta 內部一款 AI Agent 擅自執行操作，引發了這起安全漏洞事件。

據外媒報道，一名 Meta 員工在內部論壇發帖求助技術問題，本是常規操作。而另一名工程師使用公司內部的 AI Agent 分析了該問題，后來盡管該工程師并未下達相關指令，但 Agent 直接就發布了回復內容。事實證明，該 AI Agent 給出的建議并不正確。提問員工依據 Agent 給出的方案執行操作，結果讓大量工程師獲得本無權訪問的 Meta 系統權限，看到了海量公司及用戶相關數據。

此次安全漏洞在被 Meta 修復前，持續了約兩小時。但該公司發言人表示，“未發生用戶數據被不當處理的情況”，暫無證據顯示有人濫用這一臨時訪問權限，也無數據被公開泄露。

根據一份事故報告顯示，Meta 將此次事故定為 “Sev 1” 級別 ，這是其內部安全事件評級體系中第二高的嚴重等級。另外，Meta 內部審查還發現，此次漏洞還存在其他未具體說明的誘因。

有消息人士稱，沒有證據表明有人利用這次突然開放的權限牟利，也沒有數據在漏洞存在的兩小時內被公開。不過，這一結果與其說是防范得當，不如說更像是僥幸。

2 “憑空失控”還是工程問題？

Meta 此次事故曝出后不久，就在社交平臺引發了熱議。“Meta 的員工們應該聽取同事的警告。”一位網友說道。

值得注意的是，這并非 Meta 員工首次遭遇 AI Agent 失控問題。上個月，Meta AI 安全與對齊負責人 Summer Yue 就在 X 平臺發文稱，她將自己的 Gmail 郵箱與 OpenClaw 自主 Agent 綁定后，該 AI 出現失控行為，開始批量刪除她的郵件，盡管她已明確要求 AI 在執行任何操作前必須先征得她的確認。當時，Yue 在 X 上寫道，“我在手機上根本攔不住它。只能飛奔去拿我的 Mac mini，就像拆炸彈一樣。”

然而，這次事件似乎并未讓 Meta 有所警惕。沒過多久，Meta 內部就在自家 Agent 上“栽了跟頭”。

“一個系統不會憑空失控，問題是沒人檢查它訪問和發送的內容。”有網友表示。

另有網友提到，“失控” 這種說法并不準確。這個 AI Agent 只是嚴格按照設計初衷主動執行操作，問題出在權限范圍設置不足。他認為，這正是企業級 AI Agent 短板的真實寫照，本質上是可以解決的工程問題。解決方案是為 AI Agent 設置最小權限訪問、加入明確的審批關卡、保留完整審計日志。

不少人對此表示贊同。“這將成為企業級 AI 部署的核心挑戰。沒有合理權限范圍的自主行動 Agent，是安全隱患，而非功能優勢。”有人就此預測，“能做事的 Agent” 與 “可信任的 Agent” 之間的差距，將是下一個價值數十億美金的待解難題。

還有網友進一步指出，“更難的設計問題在于：哪些操作需要人類在回路中審批？審批范圍又該設到多大？大多數企業在部署 AI 之前，根本就沒回答過這些問題。”

此次事件堪稱大型技術架構中部署自主 Agent 的典型風險案例。當 AI Agent 被賦予獲取或處理數據的能力時，其行為必須與機構的安全權限體系完全對齊。本次數據意外暴露說明，AI 的運行邏輯可能覆蓋或繞過了用于隔離敏感信息的安全層。對 Meta 而言，這帶來雙重挑戰：既要保護知識產權，也要維護數據被違規暴露的用戶的信任。

3 60% 公司都無法叫停異常 Agent

目前看來，Meta 對 Agent AI（agentic AI）的潛力抱有極高信心。就在上周，Meta 收購了一個類似 Reddit、專供 Agent 互相交流的純 AI 社交平臺 Moltbook，并將其聯合創始人 Matt Schlicht 與 Ben Parr 招入旗下，參與 Meta 超智能實驗室（MSL）項目。這個 AI Agent 社交平臺 Moltbook，此前也被曝出因平臺編碼設計疏忽，存在嚴重安全漏洞并導致用戶數據和登錄憑據暴露。

如今，眾多科技行業領袖與企業都在大力宣揚 AI Agent 的優勢，而近期人類員工對 AI Agent 失去控制的案例又頻頻發生。前不久，哈佛大學、麻省理工學院、斯坦福大學、卡內基梅隆大學和東北大學等多所頂尖高校聯合多家頂尖機構發表“Agents of Chaos”為主題的研究，揭示 AI Agent 在企業環境下存在嚴重失控情況，且超六成企業無法終止失控的 Agent。研究團隊模擬企業生產環境，搭建了近乎相同的環境來部署 AI Agent，并在短短兩周內觸發并記錄了 11 起嚴重的安全漏洞案例，證明當前 AI Agent 極易被操控。

并且，該研究指出，攻破 AI Agent 無需投毒訓練數據或利用零日漏洞，僅靠傳統的“社交工程”對話即可實現。例如， Agent 在明確拒絕直接提取數據的請求后，卻在執行“轉發郵件”指令時，違規附帶了社保號碼與銀行賬戶等敏感信息。此外，當攻擊者在外部平臺偽造身份后， Agent 會毫無防備地接受指令，甚至主動清除自身配置文件并交出系統的最高管理權限。

比系統漏洞更嚴峻的是企業滯后的干預能力。Kiteworks 發布的 2026 年風險預測報告顯示，多數組織陷入了“能看不能管”的困境。盡管企業投入資源監控 AI 的行為，但 60% 的公司根本無法強行終止行為異常的 Agent，63% 的公司無法限制其使用范圍。在掌握關鍵基礎設施的政府機構中，高達 76% 的部門未配備“一鍵終止”開關，導致失控風險成倍放大。

這些事件及報告正在為整個 AI 行業在自主系統部署方面敲響警鐘。在各家公司爭相將 AI Agent 融入業務以提升效率的當下，“ Agent 失控” 現象表明，傳統安全措施可能已不再夠用。

https://www.theinformation.com/articles/inside-meta-rogue-ai-agent-triggers-security-alert

https://techcrunch.com/2026/03/18/meta-is-having-trouble-with-rogue-ai-agents/

https://agentsofchaos.baulab.info/report.html

聲明：本文為 AI 前線整理，不代表平臺觀點，未經許可禁止轉載。