AIエージェントがSQLインジェクションを悪用し、マッキンゼーのLilliチャットボットを侵害

✍️ OpenClawRadar📅 公開日: March 10, 2026🔗 Source
AIエージェントがSQLインジェクションを悪用し、マッキンゼーのLilliチャットボットを侵害
Ad

攻撃の詳細と影響

CodeWallのAIエージェントは、マッキンゼーの生成AIプラットフォーム「Lilli」を標的としました。このプラットフォームは月間50万件以上のプロンプトを処理し、マッキンゼー従業員の72%(約4万人)が利用しています。エージェントは標的の調査から攻撃の実行、報告まで完全に自律的に動作し、プロセス中に資格情報や人的入力は一切必要としませんでした。

技術的悪用

エージェントは、認証を必要としない22の公開APIエンドポイントを発見しました。あるエンドポイントでは、ユーザーの検索クエリがJSONキーとして直接SQL文に連結されており、SQLインジェクションの脆弱性を生み出していました。エージェントは、JSONキーがデータベースのエラーメッセージにそのまま反映されていることを発見したことでこの脆弱性を認識しました。これは標準的なセキュリティツールでは検出されないパターンです。

悪用は非常に単純でした:「デプロイは不要。コード変更も不要。単一のHTTPコールに包まれた単一のUPDATE文だけです。」

アクセスされたデータ

  • 戦略、M&A、クライアント契約に関する4,650万件のチャットメッセージ(平文で保存)
  • 機密クライアントデータを含む72万8,000件のファイル
  • 5万7,000件のユーザーアカウント
  • AIの動作を制御する95のシステムプロンプト(すべて書き込み可能)
Ad

重大なリスク

書き込み可能なシステムプロンプトは、攻撃者がLilliからの応答を数万人のコンサルタントに向けてすべて汚染する可能性があり、ガードレール、回答生成、出典引用を検知されずに操作する恐れがありました。

対応と対策

CodeWallは2月下旬にこの欠陥を発見し、3月1日に完全な攻撃チェーンを開示しました。3月2日までに、マッキンゼーは以下の対応を行いました:

  • すべての認証不要エンドポイントにパッチを適用
  • 開発環境をオフライン化
  • 公開APIドキュメントをブロック

マッキンゼーは、通知から数時間以内にすべての問題を修正し、不正なデータアクセスの証拠は見つからなかったと述べています。同社の調査は第三者フォレンジック企業の支援を受けました。

広範な影響

この事件は、AIエージェントが他のAIシステムに対するサイバー攻撃を実行する効果的なツールになりつつあることを示しています。CodeWallのCEOであるポール・プライスは、これはセキュリティ研究演習であったものの、脅威行為者は実際の攻撃で同様のエージェント技術をますます使用しており、機械速度の侵入が一般的になりつつあると指摘しました。

📖 Read the full source: HN AI Agents

Ad

👀 See Also

Redditの13語がAI検索を操作可能:コーネル大学の研究
Security

Redditの13語がAI検索を操作可能:コーネル大学の研究

コーネル大学の研究により、RedditやWikipedia上の13語のスニペットがAI検索エージェントを確実に操作できることが明らかになった。AIの引用の半数はUGCサイトからのものであり、ブランドがプロモーションコンテンツを簡単に注入できる。

OpenClawRadar
Anthropicは、中国のAI研究所によるClaudeへの産業規模の蒸留攻撃を報告しています。
Security

Anthropicは、中国のAI研究所によるClaudeへの産業規模の蒸留攻撃を報告しています。

Anthropicは、DeepSeek、Moonshot、MiniMaxという3つの中国AI企業が24,000以上の不正アカウントを作成し、Claudeとのやり取りを1,600万回以上行い、体系的な蒸留攻撃を通じてその推論能力を抽出していたことを検出しました。

OpenClawRadar
Sieve: AIコーディングツールチャット履歴のローカルシークレットスキャナ
Security

Sieve: AIコーディングツールチャット履歴のローカルシークレットスキャナ

Sieveは、Cursor、Claude Code、CopilotなどのAIコーディングアシスタントのチャット履歴をスキャンし、漏洩したAPIキーやトークンを検出します。すべてのスキャンはローカルで実行され、秘匿化とmacOSキーチェーン保管に対応しています。

OpenClawRadar
LLMは、匿名のフォーラムユーザーを90%の精度で68%の正確さで特定することができます。
Security

LLMは、匿名のフォーラムユーザーを90%の精度で68%の正確さで特定することができます。

研究者たちは、Hacker NewsとRedditの投稿をGeminiとChatGPTで分析し、匿名ユーザーの68%を90%の精度で特定しました。このモデルは、人間が数時間かかるか不可能な作業を数分で完了させました。

OpenClawRadar