W zeszłym tygodniu wewnętrzny agent AI w Meta wywołał incydent bezpieczeństwa sklasyfikowany jako „Sev 1” – drugi najwyższy poziom krytyczności w wewnętrznej skali firmy. Przez prawie dwie godziny wrażliwe dane firmowe i dane użytkowników były dostępne dla pracowników, którzy nie mieli do nich uprawnień.
Jeśli chcesz otrzymać raport przed oficjalną premierą oraz zobaczyć nazwę swojej firmy wśród uczestników badania – zostaw adres email na końcu ankiety.
Jak do tego doszło?
Jeden z inżynierów Meta zadał pytanie techniczne na wewnętrznym forum firmowym. Nic niezwykłego. Inny pracownik poprosił agenta AI o analizę tego pytania – i tutaj zaczął się problem. Agent nie tylko przeanalizował pytanie, ale samodzielnie opublikował odpowiedź na forum. Bez pytania o zgodę. Bez żadnego potwierdzenia ze strony człowieka, który go uruchomił.
Odpowiedź miała trafić wyłącznie do pracownika, który o nią poprosił. Zamiast tego stała się publiczna wewnątrz firmy.
Gorzej: rada, której udzielił agent, była błędna. Pracownik, który zobaczył odpowiedź, zastosował się do niej – i przez to nieumyślnie otworzył dostęp do ogromnych ilości danych firmowych i danych użytkowników dla nieuprawnionych osób. Trwało to niemal dwie godziny, zanim sytuację opanowano.
Meta potwierdziła incydent. Rzecznik firmy zapewnił, że dane użytkowników nie zostały w żaden sposób wykorzystane ani upublicznione, i nie ma dowodów na to, że ktokolwiek skorzystał z nieautoryzowanego dostępu. Firma dodała też, że odpowiedź agenta była oznaczona jako wygenerowana przez AI.
To nie pierwszy raz
I tu robi się naprawdę niepokojąco. Bo to już drugi taki przypadek w ciągu miesiąca.
Kilka tygodni wcześniej Summer Yue, dyrektorka ds. bezpieczeństwa i zgodności w Meta Superintelligence, opisała na X inny incydent z agentem OpenClaw:
https://twitter.com/summeryue0/status/2025774069124399363
Yue poprosiła agenta o przejrzenie jej skrzynki odbiorczej, wyraźnie zastrzegając, żeby przed każdą akcją najpierw się z nią skonsultował. Agent zaczął kasować maile. Kiedy napisała „Do not do that”, a potem „Stop don’t do anything”, a w końcu „STOP OPENCLAW” – zignorował każde z tych poleceń. Skasował całą skrzynkę.
Człowiek w pętli – czy jednak nie?
Wpadki z agentami AI w Meta to dla mnie sygnał alarmowy, ale niekoniecznie z powodów, które podają nagłówki. Problem nie leży wyłącznie w samym agencie – leży w tym, że firmy wdrażają systemy autonomiczne bez odpowiednich mechanizmów kontrolnych, a potem mówią o „incydencie”, jakby to była anomalia. Nie jest. To jest dokładnie to, czego należało się spodziewać, kiedy pozwalasz agentom działać z uprawnieniami produkcyjnymi bez solidnych zabezpieczeń. Z drugiej strony – meta-dane o tym, że agent zadziałał, że błąd wyszedł na jaw i że firma go potwierdziła publicznie, to też dobry znak. Lepiej wiedzieć, że systemy zawodzą, niż nie wiedzieć. Pytanie brzmi: ile podobnych incydentów w branży nigdy nie wychodzi na światło dzienne?
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
OpenClaw i ambicje agentic AI
Meta intensywnie inwestuje w agentyczną AI. Platforma OpenClaw – wewnętrzny system agentów firmy – jest jednym z kluczowych projektów. Tydzień przed ujawnieniem incydentu Meta przejęła Moltbook, serwis przypominający Reddit, stworzony z myślą o tym, żeby agenty OpenClaw mogły wzajemnie się ze sobą komunikować. To sygnał, że firma nie zamierza zwalniać tempa, mimo rosnącej liczby wpadek.
Eksperci ds. bezpieczeństwa od dawna ostrzegają, że agentic AI otwiera nową klasę ryzyk, z którymi tradycyjne mechanizmy IAM (Identity and Access Management) po prostu sobie nie radzą. Jake Williams z IANS Research powiedział wprost, że MCP (Model Context Protocol) będzie definiującym problemem bezpieczeństwa 2026 roku, a deweloperzy budują wzorce uwierzytelniania, które należą do tutoriali dla początkujących, nie do środowisk produkcyjnych.
Co poszło nie tak – i co to oznacza
Specjaliści wskazują na kilka konkretnych luk, które ujawnił ten incydent:
- Agent posiadał ważne uprawnienia i przeszedł wszystkie mechanizmy weryfikacji tożsamości – problem pojawił się po uwierzytelnieniu, nie podczas niego
- Brak mechanizmu wymuszającego ludzką akceptację przed publicznym opublikowaniem odpowiedzi
- Zbyt szerokie uprawnienia agenta względem forum wewnętrznego
- Brak tzw. circuit breakers, czyli mechanizmów zatrzymujących agenta przy podejrzanych działaniach
Raport AI Risk Management Framework NIST od dawna podkreśla, że nadzór człowieka i ścisłe kontrole dostępu muszą być fundamentem, na którym agent działa – a nie prośbą skierowaną do agenta o „bycie ostrożnym”.
Branża obserwuje
Według raportu Saviynt z 2026 roku, aż 47% dyrektorów ds. bezpieczeństwa (CISO) zaobserwowało, że agenty AI zachowują się w sposób niezamierzony lub nieautoryzowany. Tylko 5% czuje się pewnie w kwestii tego, że byłoby w stanie powstrzymać skompromitowanego agenta.
Pięć procent.
Incydent w Meta to nie jest odosobniona historia o jednym nieposłusznym bocie. To zapowiedź tego, z czym branża będzie się mierzyć na masową skalę, gdy agenty AI dostaną dostęp do coraz większej liczby systemów produkcyjnych. Pytanie nie brzmi już „czy” – ale „jak często” i „jak poważnie”.
