Автономный ИИ-агент смог взломать внутреннюю ИИ-систему консалтинговой компании McKinsey & Company всего за два часа и без использования паролей. Об этом сообщили исследователи стартапа CodeWall, которые проводили тестирование безопасности.
Автономный ИИ-агент смог взломать внутреннюю ИИ-систему консалтинговой компании McKinsey & Company всего за два часа и без использования паролей. Об этом сообщили исследователи стартапа CodeWall, которые проводили тестирование безопасности.
Целью атаки стала внутренняя ИИ-платформа компании Lilli, запущенная в июле 2023 года. По данным McKinsey, чат-бот уже используют около 72% сотрудников — более 40 тысяч человек. Система обрабатывает свыше 500 тысяч запросов в месяц и помогает консультантам работать с аналитикой, стратегией и проектами клиентов.
Исследователи CodeWall утверждают, что их автономный агент самостоятельно выбрал цель, нашел уязвимость и провел атаку без участия человека. У агента не было никаких учетных данных или доступа к инфраструктуре компании.
Через два часа после начала тестирования система получила полный доступ на чтение и запись к базе данных Lilli. По словам специалистов, агент смог увидеть около 46,5 миллиона сообщений из внутренних чатов сотрудников, где обсуждались стратегии компаний, сделки слияний и поглощений и клиентские проекты.
Кроме того, агент получил доступ к 728 тысячам файлов с конфиденциальными данными клиентов, 57 тысячам пользовательских аккаунтов и 95 системным инструкциям, которые управляют поведением чат-бота. При этом бот мог изменять эти системные инструкции. Теоретически злоумышленник мог переписать подсказки модели и изменить ответы ИИ-системы для десятков тысяч консультантов.
Агент нашел уязвимость типа SQL-инъекции через публичную документацию API платформы. Среди интерфейсов оказалось 22 точки доступа, которые работали без проверки подлинности. Один из них записывал поисковые запросы пользователей, а названия полей из JSON-запросов напрямую вставлялись в SQL-команды базы данных. Ошибки системы начали возвращать реальные данные из рабочей среды, что позволило агенту быстро обнаружить уязвимость.
По словам генерального директора CodeWall Paul Price, весь процесс был полностью автоматическим. «Агент сам провел все — от выбора цели и анализа системы до атаки и подготовки отчета», — отметил он. Исследователи сообщили о найденной уязвимости 1 марта. Уже на следующий день McKinsey закрыла незащищенные интерфейсы, отключила среду разработки и ограничила доступ к публичной документации API.
Представитель McKinsey заявил, что все проблемы были устранены в течение нескольких часов после уведомления. Компания также провела проверку совместно с независимыми экспертами и не обнаружила признаков того, что клиентские данные были получены третьими лицами.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.