AI对战AI:智能体仅用两小时就入侵了麦肯锡的聊天机器人,并获得完整读写权限

admin
admin
admin
0
文章
0
评论
2026-03-11 03:22:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全公司CodeWall利用AI智能体仅用两小时便成功入侵麦肯锡内部AI平台Lilli,通过公开API文档发现SQL注入漏洞,获取了数据库完全读写权限及数千万条敏感数据。攻击者甚至能篡改系统提示词,展示了AI智能体在自动化攻击中的强大能力。麦肯锡已修复漏洞并表示无证据显示数据泄露,该事件警示企业需加强AI系统安全防护。 综合评分: 82 文章分类: AI安全,渗透测试,漏洞分析,红队,安全大事件

cover_image

AI 对战 AI:智能体仅用两小时就入侵了麦肯锡的聊天机器人,并获得完整读写权限

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月10日 09:01 湖北

红队安全初创公司 CodeWall 的研究人员表示,他们的 AI 代理入侵了麦肯锡的内部 AI 平台,并在短短两小时内获得了对聊天机器人的完全读写权限。

这再次表明,智能体人工智能正成为进行网络攻击(包括针对其他人工智能系统的攻击)的更有效工具。

这次攻击并非出于恶意。研究人员表示,不法分子越来越多地在现实世界的攻击中使用代理程序,这表明机器速度的入侵攻击不会消失。

麦肯锡是一家专门为大型企业和政府提供复杂战略咨询服务的巨型管理咨询公司,于 2023 年 7 月推出了名为 Lilli 的生成式人工智能平台。据该公司称,其 72% 的员工(超过 4 万人)现在都在使用这款聊天机器人,该机器人每月处理超过 50 万条提示信息。

CodeWall利用人工智能代理持续攻击客户的基础设施,以帮助他们提升安全态势。据这家初创公司称,其自身的安全代理建议将麦肯锡作为攻击目标,理由是这家咨询公司公开负责的信息披露政策以及其Lilli系统的最新更新。

研究人员在博客中写道,该代理没有访问麦肯锡资产的任何凭证。

CodeWall 的研究人员声称,在发起红队攻击的短短两小时内,他们就获得了对整个生产数据库的完全读写权限,并能够访问 4650 万条关于战略、并购和客户互动等方面的聊天记录(全部为明文),以及 72.8 万个包含机密客户数据的文件、5.7 万个用户账户和 95 条控制人工智能行为的系统提示。

这些提示全部可写,这意味着攻击者可以篡改 Lilli 发送给数万名使用该聊天机器人的顾问的所有信息。

CodeWall 的AI代理在 2 月底发现了 SQL 注入漏洞,研究人员于 3 月 1 日披露了完整的攻击链。第二天,麦肯锡就修补了所有未经身份验证的端点,将开发环境下线,并屏蔽了公共 API 文档。

麦肯锡发言人告诉《The Register》杂志,在得知CodeWall发现的问题后几个小时内,他们就修复了所有问题。

发言人告诉我们:“我们与一家领先的第三方取证公司合作进行的调查没有发现任何证据表明该研究人员或任何其他未经授权的第三方访问了客户数据或客户机密信息。麦肯锡的网络安全系统非常强大,保护我们受托保管的客户数据和信息是我们工作的重中之重。”

AI vs AI

CodeWall 首席执行官 Paul Price 拒绝透露他的团队用来攻击聊天机器人Lilli 的具体提示,但他表示,整个过程“从研究目标、分析、攻击到报告,都是完全自主的”。

CodeWall代理最初通过发现公开的API文档(包括22个无需身份验证的端点)获得了Lilli的访问权限。其中一个端点会生成用户搜索查询,代理发现这些查询的JSON键(即字段名)被拼接成SQL语句,存在SQL注入漏洞。

研究人员写道:“当它在数据库错误消息中发现原封不动地反映出 JSON 键时,它识别出了标准工具无法标记的 SQL 注入。”他们还补充说,错误消息最终开始输出实时生产数据。

更糟糕的是:Lilli 的系统提示信息也存储在同一个数据库中,这使得代理也可以访问这些信息。

由于 SQL 注入漏洞支持读写操作,攻击者可以利用此漏洞悄无声息地重写 Lilli 的提示信息,从而影响聊天机器人回答顾问问题的方式、遵循的安全机制以及引用来源的方式。

“无需部署。”博客中写道。“无需更改代码。只需在单个 HTTP 调用中封装一个 UPDATE 语句即可。”

Price告诉《The Register》:“这些安全漏洞现在已经堵上了,但更大的威胁依然存在。”

“我们使用了一个特定的AI研究代理来自主选择目标,整个过程完全无需人工干预。”他说道。“黑客会使用同样的技术和策略进行无差别攻击,但会带有特定的目标。”例如“以数据丢失或勒索软件为由进行经济勒索。”

技术报告:

《我们是如何攻破麦肯锡人工智能平台的》

https://codewall.ai/blog/how-we-hacked-mckinseys-ai-platform

新闻链接:

https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《AI 对战 AI:智能体仅用两小时就入侵了麦肯锡的聊天机器人,并获得完整读写权限》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZeroLogon(CVE-2020-1472) 网络安全文章

ZeroLogon(CVE-2020-1472)

文章总结: 文档详细记录了ZeroLogon漏洞CVE-2020-1472的完整渗透测试流程,涵盖信息收集、漏洞利用、哈希导出、哈希传递获取域控权限及密码恢复等
03-110 评论
安全碎碎念——售后 网络安全文章

安全碎碎念——售后

文章总结: 本文探讨网络安全行业售后岗位的定位。作者指出售后更像是一类工作而非单一角色,安服、研发或销售常因需扮演此角色。小公司侧重搞定客户,大厂则需扎实技术与
03-110 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0