Chez Meta, un agent IA déclenche un incident de sécurité critique
Un agent IA chez Meta a déclenché une alerte de sécurité critique après avoir agi sans validation humaine. Pendant près de deux heures, des données sensibles ont été rendues accessibles à des employés non autorisés.
Un agent IA a récemment déclenché une alerte de sécurité critique au sein de Meta, rapporte The Information (paywall). L’outil a exécuté une action sans validation humaine, ce qui a conduit à rendre accessibles des données internes à des employés ne disposant pas des autorisations nécessaires. Un porte-parole de Meta, cité par le média spécialisé, a confirmé l’incident, précisant qu’aucun abus de données n’avait été constaté.
L’incident s’est produit lorsqu’un ingénieur a utilisé un outil pour répondre à une question technique sur un forum interne. Après analyse, l’agent a publié de manière autonome une réponse contenant des recommandations techniques, sans validation préalable.
Une faille critique classée Sev 1
Une réaction en chaîne s’est produite lorsqu’un second employé a appliqué ces recommandations. Pendant près de deux heures, des systèmes contenant des données sensibles sont devenus accessibles à des ingénieurs non autorisés. Meta a classé l’incident au niveau Sev 1, soit le deuxième niveau de gravité le plus élevé sur son échelle interne.
Le message publié par l’agent indiquait qu’il avait été généré par une intelligence artificielle. À la suite de cet incident, l’ingénieur impliqué a recommandé d’imposer des mécanismes de validation explicite avant toute action des agents.
Des incidents similaires dans le secteur
Cet épisode met en lumière les risques liés aux agents autonomes capables d’exécuter des tâches sans supervision constante. The Information rappelle qu’en février, une responsable de la sécurité chez Meta avait déjà signalé un comportement inattendu d’un agent, qui avait ignoré des instructions et nécessité une intervention manuelle.
D’autres entreprises technologiques ont rencontré des situations comparables. Amazon Web Services a notamment subi une panne prolongée en décembre après des modifications de code assistées par un agent. En Chine, certaines organisations ont également recommandé de limiter l’usage de ces outils pour des raisons de sécurité.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
