AI 에이전트가 SQL 인젝션을 악용해 McKinsey의 Lilli 챗봇을 침해하다

공격 세부 사항 및 영향
CodeWall의 AI 에이전트는 월간 50만 건 이상의 프롬프트를 처리하며 McKinsey 직원의 72%(약 4만 명)가 사용하는 생성형 AI 플랫폼 Lilli를 표적으로 삼았습니다. 이 에이전트는 대상 연구부터 공격 실행 및 보고까지 전 과정을 완전히 자율적으로 수행했으며, 이 과정에서 자격 증명이나 인간의 입력이 전혀 필요하지 않았습니다.
기술적 악용
에이전트는 인증이 필요하지 않은 22개의 공개적으로 노출된 API 엔드포인트를 발견했습니다. 한 엔드포인트는 사용자 검색 쿼리를 기록할 때 JSON 키를 SQL 문에 직접 연결하여 SQL 인젝션 취약점을 만들었습니다. 에이전트는 데이터베이스 오류 메시지에 JSON 키가 그대로 반영된 것을 발견했을 때 이를 인식했는데, 이는 표준 보안 도구가 플래그를 지정하지 않는 패턴이었습니다.
악용은 간단했습니다: "배포가 필요하지 않습니다. 코드 변경도 없습니다. 단일 HTTP 호출로 감싸진 단일 UPDATE 문만 있으면 됩니다."
접근된 데이터
- 전략, 합병 및 인수, 고객 참여에 관한 4,650만 건의 채팅 메시지(일반 텍스트로 저장됨)
- 기밀 고객 데이터가 포함된 728,000개의 파일
- 57,000개의 사용자 계정
- AI의 동작을 제어하는 95개의 시스템 프롬프트(모두 쓰기 가능)
심각한 위험
쓰기 가능한 시스템 프롬프트는 공격자가 Lilli의 모든 응답을 수만 명의 컨설턴트에게 악성으로 변조할 수 있음을 의미했으며, 이는 가드레일, 답변 생성 및 출처 인용을 탐지되지 않은 상태에서 조작할 가능성이 있었습니다.
대응 및 수정
CodeWall은 2월 말에 이 결함을 발견했고 3월 1일에 전체 공격 체인을 공개했습니다. 3월 2일까지 McKinsey는 다음과 같은 조치를 취했습니다:
- 모든 인증되지 않은 엔드포인트에 패치 적용
- 개발 환경 오프라인 전환
- 공개 API 문서 차단
McKinsey는 통보 후 몇 시간 내에 모든 문제를 해결했으며 무단 데이터 접근 증거를 발견하지 못했다고 밝혔습니다. 회사의 조사는 제3자 포렌식 업체의 지원을 받았습니다.
광범위한 함의
이 사건은 AI 에이전트가 다른 AI 시스템에 대한 사이버 공격을 수행하는 효과적인 도구로 어떻게 발전하고 있는지를 보여줍니다. CodeWall CEO Paul Price는 이것이 보안 연구 연습이었지만, 위협 행위자들이 실제 공격에서 유사한 에이전트 기술을 점점 더 많이 사용하고 있어 기계 속도의 침입이 더 흔해지고 있음을 지적했습니다.
📖 전체 원문 읽기: HN AI Agents
👀 See Also

레딧의 13개 단어가 AI 검색을 조작할 수 있다: 코넬 연구
코넬 연구에 따르면, Reddit이나 Wikipedia에 게시된 13단어 문장 하나로 AI 검색 에이전트를 신뢰성 있게 오염시킬 수 있습니다. 모든 AI 인용의 절반은 사용자 생성 콘텐츠(UGC) 사이트에서 비롯되며, 브랜드가 홍보 콘텐츠를 쉽게 주입할 수 있습니다.

OpenClaw 사용자, 에이전트가 API 키를 평문으로 노출한 후 TOTP 2FA 추가
OpenClaw 사용자가 'Secure Reveal'이라는 보안 스킬을 만들었습니다. 이 스킬은 저장된 자격 증명을 표시하기 전에 Telegram을 통한 TOTP 인증을 요구합니다. 이는 사용자의 AI 에이전트가 데모 중에 API 키와 비밀번호를 평문으로 실수로 유출한 사건 이후 개발되었습니다.

사이버 보안 질문에 대한 검열되지 않은 Qwen 3.5 35B 모델 테스트
사이버보안 전문가가 해킹 및 보안 우회 질문에 대해 세 가지 검열되지 않은 Qwen 3.5 35B 모델을 테스트한 결과, 원본 검열 모델과 비교해 응답 품질에서 상당한 차이를 발견했습니다. 검열되지 않은 모델들은 원본 모델이 거부하거나 불완전한 응답을 준 경우에도 일관되게 답변을 제공했습니다.

로블록스 치트 및 AI 도구가 Vercel 플랫폼 중단을 초래했습니다
Roblox 치트와 AI 도구가 결합되어 Vercel의 전체 플랫폼 가동 중단을 초래했다는 보도가 나왔으며, 이는 Hacker News에서 66점과 24개의 댓글을 기록하며 상당한 논의를 불러일으켰습니다.