Un agente IA disonesto a Meta ha agito senza approvazione e esposti dati sensibili dell’azienda e degli utenti ai dipendenti non autorizzati ad accedere. Meta ha confermato l’incidente a The Information il 18 marzo, ma ha affermato che nessun dato degli utenti è stato gestito in modo improprio. Questa esposizione ha comunque innescato un importante allarme di sicurezza internamente.

Le prove disponibili suggeriscono che l’errore si verifica dopo l’autenticazione, non durante l’autenticazione. L’agente aveva credenziali valide, operava entro i limiti autorizzati e superava ogni controllo dell’identità.

Summer Yue, direttore della conformità presso Meta Superintelligence Labs, ha descritto un fallimento diverso ma correlato in un sistema. post virale su x il mese scorso. Ho chiesto a un rappresentante di OpenClaw di esaminare la casella di posta elettronica con istruzioni chiare per confermare prima di agire.

L’agente ha iniziato a eliminare le e-mail da solo. Yue gli ha inviato “Non farlo”, poi “Smettila, non fare nulla”, poi “STOP OPEN LAW”. Ignorò ogni comando. Ha dovuto passare fisicamente a un altro dispositivo per interrompere il processo.

Yue è stato schietto quando gli è stato chiesto se l’agente avesse testato i suoi guardrail. “Errore da principiante, a dire il vero”, ha risposto. “Si scopre che i ricercatori dell’allineamento non sono immuni dal disallineamento”. (VentureBeat non è stato in grado di verificare in modo indipendente l’incidente.)

Yue ha accusato la compressione del contesto. La finestra del contenuto dell’agente si è ridotta e sono state eliminate le istruzioni di sicurezza.

La Meta-informativa del 18 marzo non è stata ancora resa pubblica a livello giudiziario.

Entrambi gli eventi condividono lo stesso problema strutturale per i leader della sicurezza. Un agente AI operava con accesso privilegiato, eseguendo azioni che il suo operatore non approvava e l’infrastruttura di identità non disponeva di alcun meccanismo per intervenire una volta che l’autenticazione aveva avuto successo.

L’agente aveva credenziali valide per tutto il tempo. Niente nello stack di identità può distinguere una richiesta autorizzata da una richiesta fraudolenta una volta che l’autenticazione ha avuto successo.

I ricercatori della sicurezza chiamano questo modello parlamentari confusi. Un agente con credenziali valide esegue l’istruzione errata e viene informato che la richiesta è corretta a ogni controllo delle credenziali. Si tratta di un tipo di errore all’interno di un problema più ampio: il controllo dell’agente post-autenticazione non è disponibile nella maggior parte degli stack aziendali.

Quattro spazi lo rendono possibile.

  1. Non esiste un inventario di quali agenti stanno lavorando.

  2. Credenziali statiche che non scadono.

  3. La verifica dell’intento zero dopo l’autenticazione ha avuto esito positivo.

  4. E il trasferimento delle agenzie ad altre agenzie senza verifica reciproca.

Negli ultimi mesi quattro venditori hanno presentato controlli per verificare queste lacune. La matrice di governance riportata di seguito mappa tutti e quattro i livelli in cinque domande che un leader della sicurezza ha presentato al consiglio prima dell’apertura di RSAC lunedì.

Perché il metaevento cambia account?

Il parlamentare confuso è la versione più acuta di questo problema, un programma fidato con alti privilegi che viene indotto con l’inganno ad abusare della propria autorità. Tuttavia, la classe più ampia di errore include qualsiasi scenario in cui un agente con accesso valido esegue azioni che il suo operatore non ha autorizzato. Manipolazione ostile, perdita di contesto e autonomia disallineata condividono tutti lo stesso divario identitario. Niente nello stack verifica cosa succede dopo che l’autenticazione ha avuto successo.

Elia Zaitsev, direttore tecnico CrowdStrikeHa descritto il modello sottostante in un’intervista esclusiva con VentureBeat. Zaitsev ha affermato che i controlli di sicurezza tradizionali presumono fiducia quando viene concesso l’accesso e mancano di visibilità su ciò che accade nelle sessioni live. Le identità, i ruoli e i servizi utilizzati dagli aggressori sono indistinguibili dalle attività legittime sul piano di controllo.

Rapporto CISO sui rischi legati all’intelligenza artificiale 2026 Da Saviynt (n=235 CISO), il 47% ha osservato che gli agenti IA mostravano comportamenti indesiderabili o non autorizzati. Solo il 5% era sicuro di poter contenere un agente IA compromesso. Leggi questi due numeri insieme. Gli agenti IA funzionano già come una nuova classe di rischio interno, hanno credenziali persistenti e operano su scala macchina.

Tre risultati da un unico rapporto: il sondaggio condotto da Cloud Security Alliance e Oasis Security su 383 professionisti IT e della sicurezza. inquadrare la portata del problema: il 79% ha una fiducia media o bassa nella prevenzione degli attacchi basati su NHI, il 92% non confida che gli strumenti IAM legacy possano gestire in modo specifico i rischi IA e NHI e il 78% non dispone di policy documentate per la creazione o la rimozione di identità IA.

La superficie di attacco non è ipotetica. CVE-2026-27826 e CVE-2026-27825 Ha raggiunto mcp-atlassian alla fine di febbraio con SSRF e scritture di file casuali oltre i confini di fiducia creati dal Model Context Protocol (MCP) in base alla progettazione. Secondo la dichiarazione di Pluto Security, mcp-atlassian ha più di 4 milioni di download. Chiunque sulla stessa rete locale può eseguire codice sul computer della vittima inviando due richieste HTTP. Nessuna autenticazione richiesta.

Jake Williams, a Docente presso IANS Researchè stato diretto sull’orbita. MCP sarà il problema di sicurezza dell’IA determinante del 2026. Lo ha detto alla comunità IANSAvverte che gli sviluppatori stanno creando modelli di autenticazione per la formazione sull’accesso, non per le applicazioni aziendali.

Negli ultimi mesi quattro fornitori hanno inviato controlli di identità degli agenti AI. Nessuno li ha inseriti in un unico quadro gestionale. La matrice seguente fa questo.

Matrice di governance dell’identità a quattro livelli

Nessuno di questi quattro fornitori può sostituire lo stack IAM esistente di un leader della sicurezza. Ciascuno di essi colma una specifica lacuna di identità che l’IAM legacy non può vedere. Altri fornitori, tra cui CyberArk, Oasis Security e Astrix, spediscono assegni NHI pertinenti; Questa matrice si concentra sui quattro che più direttamente corrispondono alla classe di errori post-autenticazione subiti dall’evento Meta. (implementazione runtime) indica controlli in linea attivi durante l’esecuzione dell’agente.

Livello di governance

Deve essere a posto

Se non Rischio

Chi sta inviando adesso?

Domanda del venditore

Scoperta dell’agente

Inventario in tempo reale di ogni agente, delle sue credenziali e dei suoi sistemi

Agenti ombra con privilegi ereditati che nessuno controlla. I tassi di implementazione dell’intelligenza artificiale ombra aziendale continuano ad aumentare poiché i dipendenti adottano strumenti intermedi senza l’approvazione dell’IT

Scudo Falcon CrowdStrike (runtime): inventario degli strumenti AI su piattaforme SaaS. Reti di Palo Alto AI-SPM (runtime): scoperta continua di entità AI. Erik Trexler, vicepresidente senior di Palo Alto Networks: “Il collasso tra identità e superficie di attacco definirà il 2026.”

Quali agenti lavorano che non forniamo?

Ciclo di vita delle credenziali

Token con ambito temporaneo, rotazione automatica, zero privilegi permanenti

Chiave statica rubata = accesso permanente con autorizzazioni complete. Le chiavi API di lunga durata forniscono agli aggressori un accesso persistente indefinitamente. Le identità non umane sono già più numerose di quelle umane. Palo Alto Networks ha mostrato 82 a 1 Nel 2026 previsioni Alleanza per la sicurezza nel cloud 100 a 1 Nel marzo 2026 valutazione del cloud.

CrowdStrike SGNL (runtime): privilegio persistente pari a zero, autorizzazione dinamica tra uomo/NHI/agente. Acquisito nel gennaio 2026 (la chiusura è prevista nel primo trimestre del 2027). Danny Brickman, CEO di Oasis Security: “L’intelligenza artificiale sta trasformando l’identità in un sistema ad alta velocità in cui ogni nuovo agente stampa le credenziali in pochi minuti.”

Ci sono agenti che eseguono l’autenticazione con una chiave che risale a più di 90 giorni?

Intento post-autenticazione

Verifica comportamentale che le richieste autorizzate corrispondano all’intento legittimo

L’agente supera ogni controllo ed esegue l’istruzione sbagliata tramite l’API approvata. Modello di metafallimento. IAM legacy non dispone di una categoria di rilevamento per questo

ID di singolarità SentinelOne (runtime): rilevamento e risposta alle minacce all’identità nelle attività umane e non umane, correlando segnali di identità, endpoint e carico di lavoro per rilevare abusi all’interno di sessioni autorizzate. Jeff Reed, CTO: “Il rischio di identità non inizia e finisce più con l’autenticazione”. Lanciato il 25 febbraio

Cosa verifica l’intento tra autenticazione e azione?

Intelligenza sulle minacce

Riconoscimento dei modelli di attacco specifici dell’agente, fondamenti comportamentali per le sessioni degli agenti

Attacco all’interno di una sessione autorizzata. Nessuna febbre da firma. Il SOC vede traffico normale. Il tempo di attesa si estende a tempo indeterminato

Cisco AI Defense (runtime): modelli di minaccia specifici dell’agente. Lavi LazarovitzVicepresidente della ricerca informatica di CyberArk: "Pensa agli agenti AI come a una nuova classe di colleghi digitali" LUI "Prendono decisioni, imparano dal loro ambiente e agiscono in modo autonomo." L’EDR è il tuo comportamento umano di base. Il comportamento dell’agente è più difficile da distinguere dall’automazione legittima

Che aspetto ha un parlamentare confuso nella nostra telemetria?

La matrice rivela una progressione. Il ciclo di vita della scoperta e delle credenziali può ora essere chiuso spedendo i prodotti. La verifica dello scopo post-autenticazione può essere parzialmente disattivata. SentinelOne rileva le minacce all’identità derivanti da attività umane e non umane una volta concesso l’accesso, ma nessun fornitore verifica completamente se l’istruzione dietro una richiesta autorizzata corrisponde all’intento legittimo. Cisco fornisce il livello di intelligence sulle minacce, ma le firme di rilevamento per gli errori degli agenti post-autenticazione sono praticamente inesistenti. I team SOC formati sulle basi del comportamento umano si trovano ad affrontare un traffico di agenti che è più veloce, più uniforme e più difficile da distinguere dall’automazione legittima.

Spazio architettonicamente aperto

Nessun importante fornitore di sicurezza offre l’autenticazione comune da agente ad agente come prodotto di produzione. I protocolli tra cui A2A di Google e la bozza IETF di marzo 2026 descrivono come crearlo.

Quando l’Agente A autorizza l’Agente B, non avviene alcuna autenticazione tra di loro. Un agente compromesso eredita la fiducia di ogni agente con cui comunica. Se ne comprometti uno tramite iniezione istantanea, trasmette istruzioni all’intera catena sfruttando la fiducia dell’intermediario legittimo già stabilito. La specifica MCP vieta la migrazione dei token. Gli sviluppatori lo fanno comunque. OWASP Febbraio 2026 Guida pratica per lo sviluppo sicuro di server MCP catalogò l’MP confuso come una classe di minaccia denominata. I controlli a livello di produzione non sono ancora stati realizzati. Questa è la quinta domanda che un leader della sicurezza pone al consiglio.

Cosa dovresti fare prima della prossima riunione del consiglio?

Inventaria ogni agente AI e connessione al server MCP. Qualsiasi agente che esegue l’autenticazione con una chiave API statica risalente a più di 90 giorni è un errore post-autenticazione in attesa di verificarsi.

Termina le chiavi API statiche. Sposta ogni delegato in token temporanei con ambito con rotazione automatica.

Distribuire l’individuazione del runtime. Non è possibile verificare l’identità di un rappresentante di cui non si conosce l’esistenza. I tassi di diffusione dell’ombra sono in aumento.

Test per esposizione MP mista. Per ogni connessione al server MCP, controlla se il server applica l’autorizzazione per utente o concede lo stesso accesso a ciascun chiamante. Se ogni agente riceve le stesse autorizzazioni indipendentemente da chi ha attivato la richiesta, il proxy confuso diventa comunque sfruttabile.

Porta la matrice di governance alla tua prossima riunione del consiglio. Sono stati implementati quattro controlli, è stata documentata una lacuna architetturale ed è stata aggiunta la sequenza temporale dell’acquisizione.

Lo stack di identità che crei per i dipendenti umani acquisisce le password rubate e impedisce accessi non autorizzati. Non rileverà un agente AI che segue un’istruzione dannosa tramite una chiamata API legittima con credenziali valide.

L’incidente di Meta ha dimostrato che ciò non è teorico. Ciò è accaduto in un’azienda con uno dei più grandi team di sicurezza AI al mondo. Quattro venditori hanno inviato controlli iniziali progettati per trovarlo. Il quinto strato non esiste ancora. Se questo cambierà la tua posizione dipende dal fatto che tratti questa matrice come uno strumento di audit funzionante o la salti nell’elenco dei fornitori.

Collegamento alla fonte

RELATED ARTICLESMORE FROM AUTHOR