Un agente IA disonesto a Meta ha agito senza approvazione e esposti dati sensibili dell’azienda e degli utenti ai dipendenti non autorizzati advert accedervi. Meta ha confermato l’incidente a The Info il 18 marzo, ma ha affermato che alla wonderful nessun dato degli utenti è stato gestito in modo errato. L’esposizione ha comunque innescato un grave allarme di sicurezza internamente.
Le show disponibili suggeriscono che l’errore si è verificato dopo l’autenticazione, non durante la stessa. L’agente possedeva credenziali valide, operava all’interno dei confini autorizzati, superando ogni controllo di identità.
Summer time Yue, direttore dell’allineamento presso Meta Superintelligence Labs, ha descritto un fallimento diverso ma correlato in a post virale su X il mese scorso. Ha chiesto a un agente di OpenClaw di rivedere la sua casella di posta elettronica con istruzioni chiare per confermare prima di agire.
L’agente ha iniziato a eliminare le e-mail da solo. Yue ha inviato “Non farlo”, quindi “Smettila, non fare nulla”, quindi “STOP OPENCLAW”. Ignorò ogni comando. Ha dovuto correre fisicamente verso un altro dispositivo per interrompere il processo.
Quando le è stato chiesto se avesse testato i guardrail dell’agente, Yue è stata schietta. “Errore da principiante, a dire il vero”, ha risposto. “Si scopre che i ricercatori dell’allineamento non sono immuni dal disallineamento.” (VentureBeat non ha potuto verificare in modo indipendente l’incidente.)
Yue ha accusato la compattazione del contesto. La finestra di contesto dell’agente si è ridotta e hanno perso le sue istruzioni di sicurezza.
La metaesposizione del 18 marzo non è stata ancora spiegata pubblicamente a livello forense.
Entrambi gli incidenti condividono lo stesso problema strutturale per i chief della sicurezza. Un agente AI operava con accesso privilegiato, intraprendeva azioni non approvate dal suo operatore e l’infrastruttura di identità non disponeva di alcun meccanismo per intervenire dopo che l’autenticazione aveva avuto successo.
L’agente ha mantenuto credenziali valide per tutto il tempo. Niente nello stack di identità potrebbe distinguere una richiesta autorizzata da una non autorizzata dopo l’autenticazione riuscita.
I ricercatori della sicurezza chiamano questo modello il vice confuso. Un agente con credenziali valide esegue l’istruzione sbagliata e ogni controllo di identità afferma che la richiesta è corretta. Questa è una classe di errori all’interno di un problema più ampio: il controllo dell’agente post-autenticazione non esiste nella maggior parte degli stack aziendali.
Quattro lacune lo rendono possibile.
-
Nessun inventario degli agenti in esecuzione.
-
Credenziali statiche senza scadenza.
-
Convalida dell’intento zero dopo che l’autenticazione ha avuto esito positivo.
-
E agenti che delegano advert altri agenti senza verifica reciproca.
Quattro fornitori hanno fornito controlli per colmare queste lacune negli ultimi mesi. La matrice di governance riportata di seguito associa tutti e quattro i livelli alle cinque domande che un chief della sicurezza pone al consiglio prima dell’apertura di RSAC lunedì.
Perché l’incidente di Meta cambia i calcoli
Il deputato confuso è la versione più acuta di questo problema, che è un programma affidabile con elevati privilegi indotto con l’inganno advert abusare della propria autorità. Ma la classe di errore più ampia embody qualsiasi situation in cui un agente con accesso valido intraprende azioni che il suo operatore non ha autorizzato. La manipolazione contraddittoria, la perdita del contesto e l’autonomia disallineata condividono tutti lo stesso divario di identità. Niente nello stack convalida ciò che accade dopo che l’autenticazione ha avuto successo.
Elia Zaitsev, CTO di CrowdStrikeha descritto il modello sottostante in un’intervista esclusiva con VentureBeat. I controlli di sicurezza tradizionali presumono fiducia una volta concesso l’accesso e mancano di visibilità su ciò che accade all’interno delle sessioni dwell, ha affermato Zaitsev. Le identità, i ruoli e i servizi utilizzati dagli aggressori sono indistinguibili dall’attività legittima sul piano di controllo.
IL Rapporto CISO sui rischi legati all’intelligenza artificiale 2026 di Saviynt (n=235 CISO) hanno riscontrato che il 47% ha osservato agenti IA esibire comportamenti non intenzionali o non autorizzati. Solo il 5% period sicuro di poter contenere un agente IA compromesso. Leggi questi due numeri insieme. Gli agenti IA funzionano già come una nuova classe di rischio interno, detenendo credenziali persistenti e operando su scala macchina.
Tre risultati da un unico rapporto: il sondaggio condotto da Cloud Safety Alliance e Oasis Safety su 383 professionisti IT e della sicurezza. inquadrare la portata del problema: il 79% ha una fiducia moderata o bassa nella prevenzione degli attacchi basati su NHI, il 92% non ha fiducia che i propri strumenti IAM legacy possano gestire i rischi IAM e NHI in modo specifico e il 78% non dispone di coverage documentate per la creazione o la rimozione di identità AI.
La superficie di attacco non è ipotetica. CVE-2026-27826 e CVE-2026-27825 ha raggiunto mcp-atlassian alla wonderful di febbraio con SSRF e scrittura di file arbitrari attraverso i confini di fiducia che il Mannequin Context Protocol (MCP) crea in base alla progettazione. mcp-atlassian ha oltre 4 milioni di obtain, secondo la divulgazione di Pluto Safety. Chiunque si trovi sulla stessa rete locale potrebbe eseguire codice sul pc della vittima inviando due richieste HTTP. Nessuna autenticazione richiesta.
Jake Williams, a membro della facoltà presso IANS Researchè stato diretto riguardo alla traiettoria. MCP sarà il problema di sicurezza dell’IA determinante del 2026, ha detto alla comunità IANSavvertendo che gli sviluppatori stanno creando modelli di autenticazione che appartengono ai tutorial introduttivi, non alle applicazioni aziendali.
Quattro fornitori hanno distribuito controlli di identità degli agenti AI negli ultimi mesi. Nessuno li ha mappati in un unico quadro di governance. La matrice seguente lo fa.
La matrice di governance dell’identità a quattro livelli
Nessuno di questi quattro fornitori sostituisce lo stack IAM esistente di un chief della sicurezza. Ciascuno di essi colma una specifica lacuna di identità che l’IAM legacy non può vedere. Altri fornitori, tra cui CyberArk, Oasis Safety e Astrix, forniscono controlli NHI pertinenti; questa matrice si concentra sulle quattro che si associano più direttamente alla classe di errore post-autenticazione esposta dall’incidente Meta. [runtime enforcement] significa controlli in linea attivi durante l’esecuzione dell’agente.
|
Livello di governance |
Dovrebbe essere a posto |
Rischio se no |
Chi lo spedisce adesso |
Domanda del venditore |
|
Scoperta dell’agente |
Inventario in tempo reale di ogni agente, delle sue credenziali e dei suoi sistemi |
Agenti ombra con privilegi ereditati che nessuno ha controllato. I tassi di implementazione dell’AI ombra nelle aziende continuano advert aumentare poiché i dipendenti adottano strumenti agente senza l’approvazione dell’IT |
Scudo Falcon CrowdStrike [runtime]: Inventario degli agenti AI su piattaforme SaaS. Reti di Palo Alto AI-SPM [runtime]: scoperta continua di risorse AI. Erik Trexler, vicepresidente senior di Palo Alto Networks: “Il collasso tra identità e superficie di attacco definirà il 2026.” |
Quali agenti sono in esecuzione di cui non abbiamo effettuato il provisioning? |
|
Ciclo di vita delle credenziali |
Token con ambito effimero, rotazione automatica, zero privilegi permanenti |
Chiave statica rubata = accesso permanente con autorizzazioni full. Le chiavi API di lunga durata forniscono agli aggressori un accesso permanente indefinitamente. Le identità non umane superano già di gran lunga quelle umane Palo Alto Networks ha citato 82 a 1 nelle sue previsioni per il 2026, il Alleanza per la sicurezza nel cloud 100 a 1 nella valutazione del cloud del marzo 2026. |
CrowdStrike SGNL [runtime]: zero privilegi permanenti, autorizzazione dinamica tra uomo/NHI/agente. Acquisito nel gennaio 2026 (chiusura prevista nel primo trimestre 2027). Danny Brickman, CEO di Oasis Safety: “L’intelligenza artificiale trasforma l’identità in un sistema advert alta velocità in cui ogni nuovo agente conia le credenziali in pochi minuti.” |
Qualche agente si è autenticato con una chiave più vecchia di 90 giorni? |
|
Intento post-autenticazione |
Convalida comportamentale che le richieste autorizzate corrispondono all’intento legittimo |
L’agente supera tutti i controlli ed esegue l’istruzione sbagliata tramite l’API sanzionata. Il modello di meta-fallimento. IAM legacy non prevede una categoria di rilevamento per questo |
Identità di singolarità SentinelOne [runtime]: rilevamento e risposta alle minacce legate all’identità nelle attività umane e non umane, correlando i segnali di identità, endpoint e carico di lavoro per rilevare l’uso improprio all’interno delle sessioni autorizzate. Jeff Reed, CTO: “Il rischio di identità non inizia e finisce più con l’autenticazione”. Lanciato il 25 febbraio |
Cosa convalida l’intento tra autenticazione e azione? |
|
Intelligenza sulle minacce |
Riconoscimento dei modelli di attacco specifici dell’agente, linee di base comportamentali per le sessioni dell’agente |
Attacco all’interno di una sessione autorizzata. Nessun fuoco di firma. Il SOC vede traffico normale. Il tempo di permanenza si estende indefinitamente |
Difesa IA Cisco [runtime]: modelli di minaccia specifici dell’agente. Lavi LazarovitzVicepresidente della ricerca informatica di CyberArk: “Pensa agli agenti IA come a una nuova classe di colleghi digitali” che “prendono decisioni, imparano dal loro ambiente e agiscono in modo autonomo”. Il tuo comportamento umano di base EDR. Il comportamento dell’agente è più difficile da distinguere dall’automazione legittima |
Che aspetto ha un vice confuso nella nostra telemetria? |
La matrice rivela una progressione. La scoperta e il ciclo di vita delle credenziali ora possono essere chiusi con la spedizione dei prodotti. La convalida dell’intento post-autenticazione è parzialmente chiudibile. SentinelOne rileva le minacce all’identità attraverso attività umane e non umane dopo che è stato concesso l’accesso, ma nessun fornitore verifica completamente se l’istruzione dietro una richiesta autorizzata corrisponde all’intento legittimo. Cisco fornisce il livello di intelligence sulle minacce, ma difficilmente esistono firme di rilevamento per gli errori degli agenti post-autenticazione. I workforce SOC formati sulle linee guida del comportamento umano si trovano advert affrontare un traffico di agenti che è più veloce, più uniforme e più difficile da distinguere dall’automazione legittima.
Il divario che rimane architettonicamente aperto
Nessun importante fornitore di sicurezza fornisce l’autenticazione reciproca da agente advert agente come prodotto di produzione. I protocolli, tra cui A2A di Google e una bozza IETF del marzo 2026, descrivono come costruirlo.
Quando l’Agente A delega all’Agente B, non avviene alcuna verifica dell’identità tra di loro. Un agente compromesso eredita la fiducia di ogni agente con cui comunica. Comprometterne uno attraverso una pronta iniezione e impartire istruzioni all’intera catena utilizzando la fiducia dell’agente legittimo già costruita. La specifica MCP vieta il passthrough dei token. Gli sviluppatori lo fanno comunque. IL OWASP Febbraio 2026 Guida pratica per lo sviluppo di server MCP sicuri catalogò il vice confuso come una classe di minaccia denominata. I controlli a livello di produzione non sono stati aggiornati. Questa è la quinta domanda che un chief della sicurezza pone al consiglio.
Cosa fare prima della prossima riunione del consiglio
Inventaria ogni agente AI e connessione al server MCP. Qualsiasi agente che esegue l’autenticazione con una chiave API statica più vecchia di 90 giorni rappresenta un errore post-autenticazione in attesa di verificarsi.
Elimina le chiavi API statiche. Sposta ogni agente su token temporanei e con ambito con rotazione automatica.
Distribuire l’individuazione del runtime. Non puoi verificare l’identità di un agente di cui non sai l’esistenza. I tassi di schieramento ombra stanno aumentando.
Take a look at per l’esposizione del vice confuso. Per ogni connessione al server MCP, controlla se il server applica l’autorizzazione per utente o concede l’accesso identico a ogni chiamante. Se ogni agente ottiene le stesse autorizzazioni indipendentemente da chi ha attivato la richiesta, il sostituto confuso è già sfruttabile.
Porta la matrice di governance alla tua prossima riunione del consiglio. Quattro controlli implementati, una lacuna architetturale documentata e tempistica di approvvigionamento allegata.
Lo stack di identità che hai creato per i dipendenti umani rileva le password rubate e blocca gli accessi non autorizzati. Non rileva un agente AI che segue un’istruzione dannosa tramite una chiamata API legittima con credenziali valide.
L’incidente di Meta ha dimostrato che non è teorico. È successo in un’azienda con uno dei workforce di sicurezza IA più grandi al mondo. Quattro fornitori hanno spedito i primi controlli progettati per rilevarlo. Il quinto strato non esiste ancora. Se ciò cambia la tua postura dipende dal fatto che tratti questa matrice come uno strumento di audit funzionante o la ignori nel mazzo dei fornitori.
