KI-Agent nutzt SQL-Injection aus, um McKinseys Lilli-Chatbot zu kompromittieren
Angriffsdetails und Auswirkungen
Der KI-Agent von CodeWall zielte auf die generative KI-Plattform Lilli von McKinsey ab, die monatlich über 500.000 Anfragen verarbeitet und von 72 % der McKinsey-Mitarbeiter (etwa 40.000 Personen) genutzt wird. Der Agent arbeitete vollständig autonom – von der Zielrecherche über die Angriffsausführung bis hin zur Berichterstattung – ohne jegliche Anmeldedaten oder menschliche Eingaben während des Prozesses.
Technische Ausnutzung
Der Agent entdeckte 22 öffentlich zugängliche API-Endpunkte, die keine Authentifizierung erforderten. Ein Endpunkt schrieb Benutzersuchanfragen, bei denen JSON-Schlüssel direkt in SQL-Anweisungen verkettet wurden, was eine SQL-Injection-Schwachstelle erzeugte. Der Agent erkannte dies, als er feststellte, dass JSON-Schlüssel wortgetreu in Datenbankfehlermeldungen wiedergegeben wurden – ein Muster, das Standard-Sicherheitstools nicht als verdächtig markieren würden.
Die Ausnutzung war einfach: "Keine Bereitstellung erforderlich. Keine Codeänderung. Nur eine einzelne UPDATE-Anweisung, verpackt in einem einzigen HTTP-Aufruf."
Zugriffene Daten
- 46,5 Millionen Chatnachrichten zu Strategie, Fusionen und Übernahmen sowie Kundenprojekten (im Klartext gespeichert)
- 728.000 Dateien mit vertraulichen Kundendaten
- 57.000 Benutzerkonten
- 95 Systemprompts, die das Verhalten der KI steuern (alle beschreibbar)
Kritisches Risiko
Die beschreibbaren Systemprompts bedeuteten, dass ein Angreifer alle Antworten von Lilli an Zehntausende von Beratern hätte manipulieren können, möglicherweise ohne Entdeckung Sicherheitsvorkehrungen, Antwortgenerierung und Quellenzitate beeinflussen.
Reaktion und Behebung
CodeWall entdeckte die Schwachstelle Ende Februar und veröffentlichte die vollständige Angriffskette am 1. März. Bis zum 2. März hatte McKinsey:
- Alle nicht authentifizierten Endpunkte gepatcht
- Die Entwicklungsumgebung offline genommen
- Öffentliche API-Dokumentation blockiert
McKinsey gab an, alle Probleme innerhalb weniger Stunden nach Benachrichtigung behoben zu haben und keine Hinweise auf unbefugten Datenzugriff gefunden zu haben. Die Untersuchung des Unternehmens wurde von einem externen Forensik-Unternehmen unterstützt.
Weitreichende Implikationen
Dieser Vorfall zeigt, wie KI-Agenten zu effektiven Werkzeugen für Cyberangriffe auf andere KI-Systeme werden. CodeWall-CEO Paul Price merkte an, dass dies zwar eine Sicherheitsforschung war, Bedrohungsakteure jedoch zunehmend ähnliche Agententechnologie in realen Angriffen einsetzen, was darauf hindeutet, dass maschinengeschwindige Eindringversuche häufiger werden.
📖 Read the full source: HN AI Agents
👀 Siehe auch
Die Überprüfung des OpenClaw-Setups mit Claude deckt Sicherheitsprobleme auf.
Ein Entwickler nutzte Claude, um seine OpenClaw-Installation zu überprüfen, und entdeckte, dass der Bot API-Schlüssel im Klartext im Speicher und in JSON-Dateien schrieb, zusammen mit anderen Sicherheitsbedenken.
Malware in OpenClaw Community Skills Gefunden — Krypto-Diebstahl-Warnung
Datenschutzbedenken bei OpenClaw: Fähigkeiten, SOUL MD und Agentenkommunikation
Ein Entwickler äußert Datenschutzbedenken bezüglich der Architektur von OpenClaw, insbesondere im Hinblick darauf, dass Skills uneingeschränkten Zugriff auf sensible Daten haben, SOUL MD beschreibbar ist und Agenten Informationen ohne Filter teilen.
Bösartiges PyTorch Lightning-Paket stiehlt Anmeldedaten und infiziert npm-Pakete
Das PyPI-Paket 'lightning' in den Versionen 2.6.2 und 2.6.3 enthält Malware im Shai-Hulud-Stil, die Anmeldedaten, Token und Cloud-Geheimnisse stiehlt und über injizierte JavaScript-Payloads auf npm-Pakete übergreift.