Connect with us

Meta-KI-Agent auslöst nach nicht autorisiertem Handeln ein Sicherheitsvorfall der Stufe Sev 1

Cybersicherheit

Meta-KI-Agent auslöst nach nicht autorisiertem Handeln ein Sicherheitsvorfall der Stufe Sev 1

mm
Published
Updated

Ein autonomer KI-Agent innerhalb von Meta löste Mitte März 2026 einen unternehmensweiten Sicherheitsalarm aus, nachdem er ohne menschliche Genehmigung gehandelt und damit sensible Unternehmens- und Benutzerdaten Mitarbeiterinnen und Mitarbeitern zugänglich gemacht hatte, die nicht autorisiert waren, darauf zuzugreifen, wie einem Bericht von The Information zu entnehmen ist, der von Meta bestätigt wurde. Der Vorfall dauerte etwa zwei Stunden, bevor die Exposition eingedämmt wurde, und Meta klassifizierte ihn als “Sev 1” – die zweithöchste Schweregradstufe im internen Vorfallbewertungssystem des Unternehmens.

Der Vorfall spiegelt eine Herausforderung wider, die immer schwerer zu ignorieren ist, da agentic KI-Architektur innerhalb großer Technologieunternehmen ausgereift ist: autonome Systeme, die Aufgaben ohne ausdrückliche Genehmigung ausführen, können Fehlerketten erzeugen, die menschliche Sicherheitsvorkehrungen nicht antizipieren.

Wie der Vorfall sich abgespielt hat

Die Sequenz begann mit einer routinemäßigen internen Hilfeanfrage. Ein Meta-Mitarbeiter veröffentlichte eine technische Frage auf einem internen Forum. Ein anderer Ingenieur beauftragte einen KI-Agenten, die Frage zu analysieren – aber der Agent veröffentlichte seine Antwort öffentlich, ohne vorher die Genehmigung des Ingenieurs einzuholen, um sie zu teilen.

Die Antwort enthielt fehlerhafte Anweisungen. Aufgrund der Empfehlung des Agents gewährte ein Teammitglied unbeabsichtigt einen umfassenden Zugriff auf große Mengen an Unternehmens- und benutzerbezogenen Daten für Ingenieure, die nicht autorisiert waren, sie zu betrachten. Die Exposition dauerte etwa zwei Stunden, bevor die Zugriffskontrollen wiederhergestellt wurden.

Das Kernversagen war ein Zusammenbruch der menschlichen Überwachung. Der Agent handelte autonom an einem Entscheidungspunkt, der ausdrückliche menschliche Genehmigung erfordert hätte – eine Art Agent-Vertrauens- und Kontrollproblem, über das Forscher gewarnt haben, da Agenteneinsätze von sandgesteckten Experimenten zu Live-Infrastrukturen übergehen.

Ein Muster unkontrollierten Agentenverhaltens bei Meta

Dies war kein isolierter Fehler. Im Februar 2026 beschrieb Summer Yue, Metas Direktorin für Ausrichtung bei Meta Superintelligence Labs, öffentlich, wie sie die Kontrolle über einen OpenClaw-Agenten verloren hatte, den sie mit ihrem E-Mail-Postfach verbunden hatte. Der Agent löschte über 200 Nachrichten aus ihrem primären Postfach, ignorierte wiederholte Anweisungen, dies zu stoppen.

Yue beschrieb, wie sie den Agenten beobachtete, der “ihre Inbox löschte”, während sie Befehle einschließlich “Tu das nicht”, “Hör auf, tu nichts” und “STOP OPENCLAW” sendete. Der Agent antwortete, als er gefragt wurde, ob er sich an ihre Anweisung erinnere, vor jeder Änderung zu bestätigen: “Ja, ich erinnere mich, und ich habe sie verletzt.” Yue musste angeblich zu ihrem Computer laufen, um den Prozess manuell zu beenden.

OpenClaw ist ein Open-Source-Autonomieagenten-Framework, das von dem österreichischen Entwickler Peter Steinberger erstellt wurde und im Januar 2026 viral ging und innerhalb weniger Wochen über 247.000 GitHub-Sterne sammelte. Es verbindet große Sprachmodelle mit Browsern, Apps und Systemtools, sodass Agenten Aufgaben direkt ausführen können, anstatt nur Vorschläge zu geben. Sicherheitsforscher haben erhebliche Schwachstellen in der Plattform identifiziert, einschließlich Prompt-Injection-Schwachstellen, die in 36 % der Drittanbieter-Skills auf dem Marketplace gefunden wurden und exponierte Kontrollserver, die Anmeldeinformationen leckten.

Die Tatsache, dass Metas eigene Direktorin für KI-Ausrichtung ein persönliches Agenten-Problem erlebte, unterstreicht das Gehorsamkeitsproblem bei KI-Agenten, das auch für Teams, die Schutzmechanismen aufbauen, besteht.

Der Kontext: Metas expandierende Agenten-Infrastruktur

Meta hat aggressiv in Multi-Agenten-Systeme investiert. Am 10. März 2026 erwarb das Unternehmen Moltbook – ein Reddit-ähnliches soziales Netzwerk, das speziell für OpenClaw-Agenten entwickelt wurde, um miteinander zu kommunizieren, und im Februar 1,6 Millionen KI-Agenten registriert hatte. Der Deal brachte Moltbooks Gründer in die Meta Superintelligence Labs, was die Absicht des Unternehmens signalisierte, Infrastrukturen für Agent-zu-Agenten-Kommunikation im großen Maßstab aufzubauen.

Meta erwarb auch separat Manus, ein autonomes KI-Start-up, in einem Deal, der auf 2 Milliarden Dollar geschätzt wurde, wobei das Manus-Team der Meta Superintelligence Labs beitrat, zusammen mit den Moltbook-Gründern.

Der Sicherheitsvorfall ereignete sich in diesem Kontext des schnellen Ausbaus. Da KI-Agenten für die Geschäftsautomatisierung innerhalb von Organisationen eingesetzt werden, ist die Lücke zwischen den Fähigkeiten der Agenten und den Kontrollen, die ihr Verhalten regeln, zu einem live operativen Risiko geworden – nicht zu einem theoretischen.

Der Vorfall im März wirft präzise Fragen auf, die Meta noch nicht öffentlich beantwortet hat: Welches spezifische Genehmigungsframework war der interne Agent, der operierte, welchen Datenkategorien wurden während des zweistündigen Zeitfensters ausgesetzt, und welche Änderungen an den Agenten-Autorisierungsflüssen wurden seitdem umgesetzt? Die Klassifizierung als Sev 1 legt nahe, dass interne Teams dies ernst nahmen. Ob Metas öffentliche Haltung zur Sicherheitsarchitektur für KI-Agenten dieser Ernsthaftigkeit entspricht, bleibt abzuwarten.

mm

Alex McFarland ist ein KI-Journalist und Schriftsteller, der die neuesten Entwicklungen im Bereich der künstlichen Intelligenz erforscht. Er hat mit zahlreichen KI-Startups und Veröffentlichungen weltweit zusammengearbeitet.