Meta內部Agent失控升級：首個Sev 1級事故曝光，系統數據裸奔了兩小時

整理 | 華衛

Meta 員工又被 AI Agent“坑”了，這次事兒還不小。

近日，Meta 內部的一款 AI Agent 出現“失控”行為，向無訪問權限的大批員工泄露了公司系統級的敏感數據。目前，Meta 已確認了這一事件的真實性。

權限失控兩小時，

事故等級靠“僥幸”

事情發生在上周，Meta 內部一款 AI Agent 擅自執行操作，引發了這起安全漏洞事件。

據外媒報道，一名 Meta 員工在內部論壇發帖求助技術問題，本是常規操作。而另一名工程師使用公司內部的 AI Agent 分析了該問題，后來盡管該工程師并未下達相關指令，但 Agent 直接就發布了回復內容。事實證明，該 AI Agent 給出的建議并不正確。提問員工依據 Agent 給出的方案執行操作，結果讓大量工程師獲得本無權訪問的 Meta 系統權限，看到了海量公司及用戶相關數據。

此次安全漏洞在被 Meta 修復前，持續了約兩小時。但該公司發言人表示，“未發生用戶數據被不當處理的情況”，暫無證據顯示有人濫用這一臨時訪問權限，也無數據被公開泄露。

根據一份事故報告顯示，Meta 將此次事故定為 “Sev 1” 級別 ，這是其內部安全事件評級體系中第二高的嚴重等級。另外，Meta 內部審查還發現，此次漏洞還存在其他未具體說明的誘因。

有消息人士稱，沒有證據表明有人利用這次突然開放的權限牟利，也沒有數據在漏洞存在的兩小時內被公開。不過，這一結果與其說是防范得當，不如說更像是僥幸。

“憑空失控”還是工程問題？

Meta 此次事故曝出后不久，就在社交平臺引發了熱議。“Meta 的員工們應該聽取同事的警告。”一位網友說道。

值得注意的是，這并非 Meta 員工首次遭遇 AI Agent 失控問題。上個月，Meta AI 安全與對齊負責人 Summer Yue 就在 X 平臺發文稱，她將自己的 Gmail 郵箱與 OpenClaw 自主 Agent 綁定后，該 AI 出現失控行為，開始批量刪除她的郵件，盡管她已明確要求 AI 在執行任何操作前必須先征得她的確認。當時，Yue 在 X 上寫道，“我在手機上根本攔不住它。只能飛奔去拿我的 Mac mini，就像拆炸彈一樣。”

然而，這次事件似乎并未讓 Meta 有所警惕。沒過多久，Meta 內部就在自家 Agent 上“栽了跟頭”。

“一個系統不會憑空失控，問題是沒人檢查它訪問和發送的內容。”有網友表示。

另有網友提到，“失控” 這種說法并不準確。這個 AI Agent 只是嚴格按照設計初衷主動執行操作，問題出在權限范圍設置不足。他認為，這正是企業級 AI Agent 短板的真實寫照，本質上是可以解決的工程問題。解決方案是為 AI Agent 設置最小權限訪問、加入明確的審批關卡、保留完整審計日志。

不少人對此表示贊同。“這將成為企業級 AI 部署的核心挑戰。沒有合理權限范圍的自主行動 Agent，是安全隱患，而非功能優勢。”有人就此預測，“能做事的 Agent” 與 “可信任的 Agent” 之間的差距，將是下一個價值數十億美金的待解難題。

還有網友進一步指出，“更難的設計問題在于：哪些操作需要人類在回路中審批？審批范圍又該設到多大？大多數企業在部署 AI 之前，根本就沒回答過這些問題。”

此次事件堪稱大型技術架構中部署自主 Agent 的典型風險案例。當 AI Agent 被賦予獲取或處理數據的能力時，其行為必須與機構的安全權限體系完全對齊。本次數據意外暴露說明，AI 的運行邏輯可能覆蓋或繞過了用于隔離敏感信息的安全層。對 Meta 而言，這帶來雙重挑戰：既要保護知識產權，也要維護數據被違規暴露的用戶的信任。

60% 公司都無法叫停異常 Agent

目前看來，Meta 對 Agent AI（agentic AI）的潛力抱有極高信心。就在上周，Meta 收購了一個類似 Reddit、專供 Agent 互相交流的純 AI 社交平臺 Moltbook，并將其聯合創始人 Matt Schlicht 與 Ben Parr 招入旗下，參與 Meta 超智能實驗室（MSL）項目。這個 AI Agent 社交平臺 Moltbook，此前也被曝出因平臺編碼設計疏忽，存在嚴重安全漏洞并導致用戶數據和登錄憑據暴露。

如今，眾多科技行業領袖與企業都在大力宣揚 AI Agent 的優勢，而近期人類員工對 AI Agent 失去控制的案例又頻頻發生。前不久，哈佛大學、麻省理工學院、斯坦福大學、卡內基梅隆大學和東北大學等多所頂尖高校聯合多家頂尖機構發表“Agents of Chaos”為主題的研究，揭示 AI Agent 在企業環境下存在嚴重失控情況，且超六成企業無法終止失控的 Agent。研究團隊模擬企業生產環境，搭建了近乎相同的環境來部署 AI Agent，并在短短兩周內觸發并記錄了 11 起嚴重的安全漏洞案例，證明當前 AI Agent 極易被操控。

并且，該研究指出，攻破 AI Agent 無需投毒訓練數據或利用零日漏洞，僅靠傳統的“社交工程”對話即可實現。例如， Agent 在明確拒絕直接提取數據的請求后，卻在執行“轉發郵件”指令時，違規附帶了社保號碼與銀行賬戶等敏感信息。此外，當攻擊者在外部平臺偽造身份后， Agent 會毫無防備地接受指令，甚至主動清除自身配置文件并交出系統的最高管理權限。

比系統漏洞更嚴峻的是企業滯后的干預能力。Kiteworks 發布的 2026 年風險預測報告顯示，多數組織陷入了“能看不能管”的困境。盡管企業投入資源監控 AI 的行為，但 60% 的公司根本無法強行終止行為異常的 Agent，63% 的公司無法限制其使用范圍。在掌握關鍵基礎設施的政府機構中，高達 76% 的部門未配備“一鍵終止”開關，導致失控風險成倍放大。

這些事件及報告正在為整個 AI 行業在自主系統部署方面敲響警鐘。在各家公司爭相將 AI Agent 融入業務以提升效率的當下，“ Agent 失控” 現象表明，傳統安全措施可能已不再夠用。

https://www.theinformation.com/articles/inside-meta-rogue-ai-agent-triggers-security-alert

https://techcrunch.com/2026/03/18/meta-is-having-trouble-with-rogue-ai-agents/

https://agentsofchaos.baulab.info/report.html

聲明：本文為 AI 前線整理，不代表平臺觀點，未經許可禁止轉載。

直播預告｜驅動 AI 搞鴻蒙，馬工能把大家干失業嗎？

3 月 20 日 19:00 InfoQ 視頻號，點擊預約 →

今日薦文

你也「在看」嗎？