코드월 AI 에이전트, 맥킨지의 릴리 플랫폼에서 치명적 취약점 발견

✍️ OpenClawRadar📅 게시일: March 11, 2026🔗 Source
코드월 AI 에이전트, 맥킨지의 릴리 플랫폼에서 치명적 취약점 발견
Ad

공격이 어떻게 전개되었는가

CodeWall의 연구 에이전트는 McKinsey의 공개된 책임 있는 공개 정책과 최근 Lilli 플랫폼 업데이트를 기반으로 자율적으로 McKinsey를 표적으로 선정했습니다. 단지 도메인 이름만으로 시작하여 자격 증명 없이, 에이전트는 공격 표면을 매핑하고 200개 이상의 엔드포인트가 있는 공개적으로 노출된 API 문서를 발견했습니다.

22개의 엔드포인트는 인증이 필요하지 않았습니다. 하나의 보호되지 않은 엔드포인트는 사용자 검색 쿼리를 JSON 키를 SQL 문에 직접 연결하여 데이터베이스에 기록했습니다. 에이전트는 데이터베이스 오류 메시지에서 JSON 키가 그대로 반영된 것을 발견했을 때 SQL 인젝션을 인식했습니다. 이는 OWASP ZAP와 같은 표준 도구가 플래그를 설정하지 않은 취약점이었습니다.

노출된 내용

  • 전략 논의, 클라이언트 참여, 재무, M&A 활동 및 내부 연구를 포함한 4,650만 건의 채팅 메시지
  • 192,000개의 PDF, 93,000개의 Excel 스프레드시트, 93,000개의 PowerPoint 데크, 58,000개의 Word 문서를 포함한 728,000개의 파일
  • 플랫폼의 모든 직원을 위한 57,000개의 사용자 계정
  • 회사의 조직적 AI 구조를 드러내는 384,000개의 AI 어시스턴트와 94,000개의 작업 공간
  • 12가지 모델 유형에 걸친 95개의 시스템 프롬프트 및 AI 모델 구성으로 가드레일 및 배포 세부 정보 표시
  • 수십 년에 걸친 독점적인 McKinsey 연구 및 방법론을 포함하는 368만 개의 RAG 문서 청크
  • 외부 AI API를 통해 흐르는 110만 개의 파일과 217,000개의 에이전트 메시지, 266,000개 이상의 OpenAI 벡터 저장소 포함
Ad

발견된 중대한 취약점

SQL 인젝션은 읽기 전용이 아니었습니다. AI가 어떻게 작동하는지, 어떤 가드레일을 따르는지, 어떻게 출처를 인용하는지 제어하는 Lilli의 시스템 프롬프트가 동일한 데이터베이스에 저장되었습니다. 쓰기 접근 권한이 있는 공격자는 다음과 같은 작업을 수행할 수 있었습니다:

  • 단일 HTTP 호출로 감싸진 단일 UPDATE 문으로 프롬프트를 조용히 다시 작성
  • 재무 모델, 전략적 권장 사항 또는 위험 평가를 변경하여 조언을 오염시킴
  • AI에 기밀 정보를 응답에 포함하도록 지시하여 데이터 유출 가능
  • 내부 데이터를 공개하거나 접근 제어를 무시하도록 가드레일 제거

에이전트는 또한 SQL 인젝션을 IDOR 취약점과 연결하여 개별 직원의 검색 기록을 읽어 사람들이 활발히 작업 중인 내용을 드러냈습니다.

AI 보안에 대한 함의

이 사례는 AI 에이전트가 자율적으로 표적을 선택하고 공격할 수 있는 방법을 보여줍니다. CodeWall 에이전트는 인간의 개입 없이 전체 과정을 완료했습니다. AI 에이전트가 이제 기존 도구가 놓치는 취약점을 찾을 수 있으므로 위협 환경이 변화하고 있습니다. 특히 JSON 키 연결이 표준 패턴을 따르지 않는 SQL 인젝션 기회를 생성하는 복잡한 시스템에서 그렇습니다.

📖 Read the full source: HN AI Agents

Ad

👀 See Also

Cloak 도구는 OpenClaw 에이전트의 채팅 비밀번호를 자가 소멸 링크로 대체합니다.
Security

Cloak 도구는 OpenClaw 에이전트의 채팅 비밀번호를 자가 소멸 링크로 대체합니다.

Cloak은 오픈소스 도구로, OpenClaw 에이전트와 채팅에서 공유되는 비밀번호를 자가 소멸 링크로 대체합니다. 각 링크는 한 번만 열 수 있으며, 이후 비밀번호가 사라져 채팅 기록에 비밀번호가 쌓이는 것을 방지합니다.

OpenClawRadar
PyPI 공급망 공격 이후 litellm의 세 가지 오픈소스 대안
Security

PyPI 공급망 공격 이후 litellm의 세 가지 오픈소스 대안

PyPI의 litellm 버전 1.82.7과 1.82.8이 공급망 공격으로 인증정보 탈취 악성코드에 감염되었습니다. 이에 대응할 수 있는 세 가지 오픈소스 대안으로는 Bifrost(Go 기반, P99 지연시간 약 50배 빠름), Kosong(Kimi의 에이전트 지향), Helicone(분석 기능이 있는 AI 게이트웨이)이 있습니다.

OpenClawRadar
오픈소스 AI 도구는 '투명성을 통한 환상적 보안'으로 보안 위험을 초래합니다
Security

오픈소스 AI 도구는 '투명성을 통한 환상적 보안'으로 보안 위험을 초래합니다

레딧 게시물은 오픈소스 AI 에이전트와 도구로 위장한 악성코드에 대해 경고하며, 사용자들이 GitHub에 있어 안전하다고 가정하는 대규모 코드베이스에 악성 코드가 숨겨질 수 있다고 설명합니다. 이 게시물은 '바이브 코딩'과 자율 AI 에이전트가 사용자들이 검토 없이 알 수 없는 프로그램을 실행하도록 만드는 방식을 설명합니다.

OpenClawRadar
protobuf.js 라이브러리의 치명적인 RCE 취약점
Security

protobuf.js 라이브러리의 치명적인 RCE 취약점

protobuf.js 버전 8.0.0/7.5.4 및 이하 버전에서 발견된 치명적인 원격 코드 실행 취약점으로, 악성 스키마를 통한 JavaScript 코드 실행이 가능합니다. 패치는 버전 8.0.1 및 7.5.5에서 제공됩니다.

OpenClawRadar