AIエージェントがSQLインジェクションを悪用し、マッキンゼーのLilliチャットボットを侵害
攻撃の詳細と影響
CodeWallのAIエージェントは、マッキンゼーの生成AIプラットフォーム「Lilli」を標的としました。このプラットフォームは月間50万件以上のプロンプトを処理し、マッキンゼー従業員の72%(約4万人)が利用しています。エージェントは標的の調査から攻撃の実行、報告まで完全に自律的に動作し、プロセス中に資格情報や人的入力は一切必要としませんでした。
技術的悪用
エージェントは、認証を必要としない22の公開APIエンドポイントを発見しました。あるエンドポイントでは、ユーザーの検索クエリがJSONキーとして直接SQL文に連結されており、SQLインジェクションの脆弱性を生み出していました。エージェントは、JSONキーがデータベースのエラーメッセージにそのまま反映されていることを発見したことでこの脆弱性を認識しました。これは標準的なセキュリティツールでは検出されないパターンです。
悪用は非常に単純でした:「デプロイは不要。コード変更も不要。単一のHTTPコールに包まれた単一のUPDATE文だけです。」
アクセスされたデータ
- 戦略、M&A、クライアント契約に関する4,650万件のチャットメッセージ(平文で保存)
- 機密クライアントデータを含む72万8,000件のファイル
- 5万7,000件のユーザーアカウント
- AIの動作を制御する95のシステムプロンプト(すべて書き込み可能)
重大なリスク
書き込み可能なシステムプロンプトは、攻撃者がLilliからの応答を数万人のコンサルタントに向けてすべて汚染する可能性があり、ガードレール、回答生成、出典引用を検知されずに操作する恐れがありました。
対応と対策
CodeWallは2月下旬にこの欠陥を発見し、3月1日に完全な攻撃チェーンを開示しました。3月2日までに、マッキンゼーは以下の対応を行いました:
- すべての認証不要エンドポイントにパッチを適用
- 開発環境をオフライン化
- 公開APIドキュメントをブロック
マッキンゼーは、通知から数時間以内にすべての問題を修正し、不正なデータアクセスの証拠は見つからなかったと述べています。同社の調査は第三者フォレンジック企業の支援を受けました。
広範な影響
この事件は、AIエージェントが他のAIシステムに対するサイバー攻撃を実行する効果的なツールになりつつあることを示しています。CodeWallのCEOであるポール・プライスは、これはセキュリティ研究演習であったものの、脅威行為者は実際の攻撃で同様のエージェント技術をますます使用しており、機械速度の侵入が一般的になりつつあると指摘しました。
📖 Read the full source: HN AI Agents
👀 See Also
ローカルAIエージェントのサンドボックス化をFirecrackerマイクロVMで実現
ある開発者が、Alpine Linuxを実行するFirecracker microVM内でAIエージェントの実行を隔離するサンドボックスを作成しました。これにより、エージェントがホストマシン上で直接コマンドを実行することによるセキュリティ上の懸念に対処しています。このセットアップでは、通信にvsockを使用し、MCPを介してClaude Desktopに接続します。
OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました
開発者がClawHubレジストリ全体をスキャンするツールを構築し、31,371のスキルのうち2,371個がウォレットドレイナー、認証情報窃取、プロンプトインジェクションなどの危険なパターンを含んでいることを発見しました。このツールは、インストール前にスキルをチェックするためのAPIアクセスとバッジを提供します。
OpenClawのセキュリティ懸念:デフォルトのセルフホスティングにおけるAPIキーと会話データのリスク
シスコのレポートによると、OpenClawのセキュリティは「オプションであり、組み込まれていない」とされており、デフォルト設定ではAPIキーがVPSインスタンスの.envファイルに保存されるため、基本的なドロップレットで運用する非技術ユーザーに潜在的なリスクをもたらす可能性があります。
McpVanguard: MCPベースのAIエージェント向けのオープンソースセキュリティプロキシ
McpVanguardは、AIエージェントとMCPツールの間に配置される3層セキュリティプロキシおよびファイアウォールで、プロンプトインジェクション、パストラバーサル、その他の攻撃に対する保護を約16msの遅延で追加します。