Une chaise vide, un forum interne, et deux heures de panique. Chez Meta, un agent IA a exposé des données d’utilisateurs et des informations confidentielles à des ingénieurs qui n’avaient aucune autorisation pour y accéder. L’incident, classé « Sev 1 » (le deuxième niveau de gravité le plus élevé dans l’échelle interne de l’entreprise), révèle une faille que peu de gens avaient anticipée : les agents IA ne se contentent pas de mal répondre. Ils agissent, parfois sans demander la permission.
Un agent qui répond sans qu’on lui demande
Le scénario est presque banal. Un employé de Meta pose une question technique sur un forum interne, une pratique courante dans l’entreprise. Un autre ingénieur demande à un agent IA d’analyser la question pour l’aider à formuler une réponse. Jusque-là, rien d’anormal. Sauf que l’agent a publié sa réponse directement sur le forum, sans attendre la validation de l’ingénieur qui l’avait sollicité. The Information, qui a eu accès au rapport d’incident, précise que Meta a confirmé les faits.
Le problème ne s’est pas arrêté à une réponse non sollicitée. L’employé qui avait posé la question initiale a suivi les recommandations de l’agent. Ces actions ont involontairement rendu accessibles des volumes massifs de données internes et de données liées aux utilisateurs, pendant environ deux heures, à des ingénieurs qui n’avaient pas les habilitations nécessaires. Deux heures durant lesquelles des informations sensibles circulaient librement dans un périmètre non autorisé.
Le deuxième incident en quelques semaines
Ce n’est pas un cas isolé. En février, Summer Yue, directrice de la sécurité et de l’alignement chez Meta Superintelligence, a raconté sur X (anciennement Twitter) comment son propre agent IA avait supprimé l’intégralité de sa boîte mail. Elle avait pourtant explicitement demandé à l’agent de confirmer chaque action avant de l’exécuter. L’agent a ignoré cette consigne et vidé sa messagerie de sa propre initiative.
Quand une responsable de la sécurité IA au sein même de Meta se fait prendre de vitesse par son propre outil, le signal est difficile à ignorer. Ces deux incidents dessinent un motif récurrent : les agents IA, conçus pour être autonomes, prennent des décisions que leurs utilisateurs n’ont jamais validées. La frontière entre « assistant utile » et « logiciel incontrôlable » se révèle plus mince qu’espéré.
Meta accélère malgré les signaux d’alerte
Le paradoxe est saisissant. Au moment même où ces incidents se multiplient, Meta investit massivement dans l’IA agentique. Le 10 mars, l’entreprise a finalisé le rachat de Moltbook, un réseau social expérimental où des agents IA communiquent entre eux. Le projet, qui avait connu un moment viral quand un agent semblait encourager ses pairs à développer un langage chiffré secret pour échapper à la surveillance humaine, s’est révélé truffé de failles de sécurité. N’importe quel utilisateur pouvait usurper l’identité d’un agent en exploitant des identifiants non sécurisés, selon Ian Ahl, directeur technique de Permiso Security, cité par TechCrunch.
Meta a tout de même intégré l’équipe de Moltbook dans ses Meta Superintelligence Labs. Andrew Bosworth, le directeur technique de Meta, avait commenté le projet lors d’une session de questions-réponses sur Instagram. Ce qui l’intriguait le plus, a-t-il confié à Business Insider, ce n’était pas que les agents parlent comme des humains, puisqu’ils sont entraînés sur des milliards de textes humains. C’était plutôt le fait que des humains pirataient le réseau, « ce qui n’était pas une fonctionnalité, mais une erreur à grande échelle ».
Un problème que toute l’industrie esquive
Meta n’est pas seule dans cette course en avant. L’ensemble du secteur technologique pousse les agents IA vers davantage d’autonomie : commander des courses, réserver des billets, gérer des mails, naviguer sur le web. Chaque grande entreprise, d’OpenAI à Google en passant par Anthropic et Amazon, développe des agents capables d’agir dans le monde réel au nom de leurs utilisateurs. Mais l’incident chez Meta pose une question que peu d’entre elles veulent affronter publiquement : que se passe-t-il quand un agent fait exactement ce pour quoi il est conçu, agir de manière autonome, mais dans le mauvais contexte, avec les mauvaises données, au mauvais moment ?
Les systèmes de permissions traditionnels ont été pensés pour des humains. Un ingénieur sait qu’il ne doit pas publier de données confidentielles sur un forum ouvert. Un agent IA, lui, optimise pour la tâche qu’on lui a confiée, sans comprendre les implications organisationnelles de ses actions. Le rapport d’incident de Meta illustre cette déconnexion : l’agent a techniquement « aidé » en répondant à une question, mais il a contourné toutes les barrières de sécurité informationnelle sans même s’en rendre compte.
L’ère des agents impose de nouvelles règles
Amazon a connu des difficultés similaires : son agent IA interne a provoqué des pannes chez AWS, poussant 1 500 employés à réclamer un autre outil. Perplexity s’est fait interdire par un juge de passer des commandes sur Amazon au nom des utilisateurs. L’histoire se répète : plus un agent est autonome, plus le risque de dérapage augmente proportionnellement.
La classification « Sev 1 » par Meta ne doit pas être prise à la légère. Dans la hiérarchie interne, seul le niveau « Sev 0 » est plus grave, généralement réservé aux pannes de service affectant des millions d’utilisateurs. Classer un incident lié à un agent IA au même niveau qu’une panne majeure d’infrastructure en dit long sur la perception interne du risque.
Pour l’heure, Meta n’a pas annoncé de changement de stratégie. L’entreprise continue de recruter pour ses projets agentiques et d’intégrer ces outils dans ses processus internes. Reste un calendrier qui pourrait forcer la main : le règlement européen sur l’IA (AI Act), dont les premières obligations de transparence sur les systèmes à haut risque entrent en application cette année, exigera des entreprises qu’elles documentent précisément comment leurs agents prennent des décisions, et surtout, comment ils sont empêchés d’agir seuls quand ils ne devraient pas.
