Meta pozastavila program MCI: Sledování zaměstnanců pro AI odhalilo obří bezpečnostní díru

Společnost Meta (dříve Facebook, nyní vlastník Instagramu a WhatsAppu) pozastavila svůj interní program Model Capability Initiative (MCI) ve dnech 22.–23. června 2026. Důvodem nebyla vlna protestů zaměstnanců, ale bezpečnostní chyba, která odhalila obrovské množství citlivých dat všem pracovníkům firmy. Incident byl interně klasifikován jako SEV 2 – druhý nejvyšší stupeň závažnosti (horší jsou už jen SEV 0 a SEV 1) . Meta program sice nejprve omezila (zaměstnanci mohli pozastavit sběr na 30 minut), ale až únik dat vedl k úplnému zastavení.

Co se stalo a co vedlo k pozastavení

Zaměstnanec společnosti Meta nahlásil, že backendové databáze MCI – čítající přes 45 000 databázových tabulek – byly přístupné všem pracovníkům Mete bez jakéhokoli omezení přístupu . Mezi uniklými daty se nacházely:

• Soukromé konverzace a přepisy chatů zaměstnanců
• Dotazy (prompty) a přepisy interakcí s interními AI nástroji
• Informace o hodnocení výkonu
• Podle některých zpráv i nezašifrované daňové a zdravotní údaje

Společnost Meta uvedla, že k úniku došlo ještě před tím, než měl kdokoli z vnějšku možnost data zneužít, a že nebyly zjištěny žádné známky neoprávněného přístupu . Přesto byl incident vyhodnocen jako SEV 2, což vedlo k okamžitému pozastavení programu .

Jak program MCI fungoval

• Datum spuštění: Duben 2026 v rámci širšího projektu Agent Transformation Accelerator (ATA)
• Co sbíral: Pohyby myši, klikání, stisky kláves a pravidelné snímky obrazovky z určených pracovních aplikací a webů
• Koho se týkal: Americké zaměstnance na nižších a středních pozicích; účast byla prakticky povinná
• Účel: Trénink AI agentů, kteří se měli naučit, jak probíhá skutečná kancelářská práce – od pohybu myší po práci s tabulkami
• Plánované rozšíření: Interní dokumenty ukazovaly, že Meta chtěla sběr rozšířit i na zaměstnance mimo USA, což by vyvolalo vážné obavy ohledně evropského nařízení GDPR

Vnitřní opozice a protesty

Od samého spuštění programu v dubnu čelila Meta ostré kritice ze strany vlastních zaměstnanců:

• Petice: Přes 1 500 zaměstnanců podepsalo petici proti povinnému sledování
• Zpráva CTO: Technologický ředitel Andrew Bosworth údajně zaměstnancům vzkázal, že účast je povinná
• První ústupky (začátek června): Meta program omezila – zaměstnanci mohli pozastavit sběr dat až na 30 minut a některé kategorie dat byly vyloučeny
• Obavy o soukromí: Zaměstnanci si stěžovali na možné porušení evropského nařízení GDPR, protože systém mohl zachytit komunikaci s kolegy v EU

Rizika pro soukromí a regulace

Program sbíral data z určených pracovních aplikací a webů, ale agentura Reuters informovala, že Meta uznala možnost zachycení komunikace i se zaměstnanci mimo USA . Evropští regulátoři ochrany soukromí začali zkoumat, zda MCI porušuje požadavky GDPR ohledně souhlasu, minimalizace dat a monitorování zaměstnanců .

Samotný únik dat – nezašifrované databáze obsahující soukromé konverzace a výkonnostní záznamy – byl poslední kapkou, která Metu donutila program zastavit .

Závěr

MCI nebyl pozastaven jen kvůli protestům zaměstnanců, ale především kvůli bezpečnostní chybě, která zpřístupnila celou citlivou pokladnici dat všem pracovníkům firmy. Incident proměnil měsíce interních stížností na porušení soukromí v konkrétní únik dat, který Meta nemohla ignorovat a musela program pozastavit.