Аўтаномны ШІ-агент змог узламаць унутраную ШІ-сістэму кансалтынгавай кампаніі McKinsey & Company усяго за дзве гадзіны і без выкарыстання пароляў. Пра гэта паведамілі даследчыкі стартапа CodeWall, якія праводзілі тэставанне бяспекі.
Аўтаномны ШІ-агент змог узламаць унутраную ШІ-сістэму кансалтынгавай кампаніі McKinsey & Company усяго за дзве гадзіны і без выкарыстання пароляў. Пра гэта паведамілі даследчыкі стартапа CodeWall, якія праводзілі тэставанне бяспекі.
Мэтай атакі стала ўнутраная ШІ-платформа кампаніі Lilli, запушчаная ў ліпені 2023 года. Паводле дадзеных McKinsey, чат-бот ужо выкарыстоўваюць каля 72% супрацоўнікаў — больш за 40 тысяч чалавек. Сістэма апрацоўвае звыш 500 тысяч запытаў у месяц і дапамагае кансультантам працаваць з аналітыкай, стратэгіяй і праектамі кліентаў.
Даследчыкі CodeWall сцвярджаюць, што іх аўтаномны агент самастойна выбраў мэту, знайшоў уразлівасць і правёў атаку без удзелу чалавека. У агента не было ніякіх уліковых дадзеных або доступу да інфраструктуры кампаніі.
Праз дзве гадзіны пасля пачатку тэставання сістэма атрымала поўны доступ на чытанне і запіс да базы дадзеных Lilli. Паводле спецыялістаў, агент змог убачыць каля 46,5 мільёна паведамленняў з унутраных чатаў супрацоўнікаў, дзе абмяркоўваліся стратэгіі кампаній, угоды зліцця і паглынання і кліенцкія праекты.
Акрамя таго, агент атрымаў доступ да 728 тысяч файлаў з канфідэнцыйнымі дадзенымі кліентаў, 57 тысяч карыстальніцкіх акаўнтаў і 95 сістэмных інструкцый, якія кіруюць паводзінамі чат-бота. Пры гэтым бот мог змяняць гэтыя сістэмныя інструкцыі. Тэарэтычна зламыснік мог перапісаць падказкі мадэлі і змяніць адказы ШІ-сістэмы для дзясяткаў тысяч кансультантаў.
Агент знайшоў уразлівасць тыпу SQL-ін’екцыі праз публічную дакументацыю API платформы. Сярод інтэрфейсаў апынулася 22 пункты доступу, якія працавалі без праверкі сапраўднасці. Адзін з іх запісваў пошукавыя запыты карыстальнікаў, а назвы палёў з JSON-запытаў наўпрост устаўляліся ў SQL-каманды базы дадзеных. Памылкі сістэмы пачалі вяртаць рэальныя дадзеныя з працоўнага асяроддзя, што дазволіла агенту хутка выявіць уразлівасць.
Паводле генеральнага дырэктара CodeWall Paul Price, увесь працэс быў цалкам аўтаматычным. «Агент сам правёў усё — ад выбару мэты і аналізу сістэмы да атакі і падрыхтоўкі справаздачы», — адзначыў ён. Даследчыкі паведамілі пра знойдзеную ўразлівасць 1 сакавіка. Ужо на наступны дзень McKinsey закрыла неабароненыя інтэрфейсы, адключыла асяроддзе распрацоўкі і абмежавала доступ да публічнай дакументацыі API.
Прадстаўнік McKinsey заявіў, што ўсе праблемы былі ліквідаваны на працягу некалькіх гадзін пасля апавяшчэння. Кампанія таксама правяла праверку сумесна з незалежнымі экспертамі і не выявіла прыкмет таго, што кліенцкія дадзеныя былі атрыманыя трэцімі асобамі.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.