코드월 AI 에이전트, 맥킨지의 릴리 플랫폼에서 치명적 취약점 발견

공격이 어떻게 전개되었는가

CodeWall의 연구 에이전트는 McKinsey의 공개된 책임 있는 공개 정책과 최근 Lilli 플랫폼 업데이트를 기반으로 자율적으로 McKinsey를 표적으로 선정했습니다. 단지 도메인 이름만으로 시작하여 자격 증명 없이, 에이전트는 공격 표면을 매핑하고 200개 이상의 엔드포인트가 있는 공개적으로 노출된 API 문서를 발견했습니다.

22개의 엔드포인트는 인증이 필요하지 않았습니다. 하나의 보호되지 않은 엔드포인트는 사용자 검색 쿼리를 JSON 키를 SQL 문에 직접 연결하여 데이터베이스에 기록했습니다. 에이전트는 데이터베이스 오류 메시지에서 JSON 키가 그대로 반영된 것을 발견했을 때 SQL 인젝션을 인식했습니다. 이는 OWASP ZAP와 같은 표준 도구가 플래그를 설정하지 않은 취약점이었습니다.

노출된 내용

• 전략 논의, 클라이언트 참여, 재무, M&A 활동 및 내부 연구를 포함한 4,650만 건의 채팅 메시지
• 192,000개의 PDF, 93,000개의 Excel 스프레드시트, 93,000개의 PowerPoint 데크, 58,000개의 Word 문서를 포함한 728,000개의 파일
• 플랫폼의 모든 직원을 위한 57,000개의 사용자 계정
• 회사의 조직적 AI 구조를 드러내는 384,000개의 AI 어시스턴트와 94,000개의 작업 공간
• 12가지 모델 유형에 걸친 95개의 시스템 프롬프트 및 AI 모델 구성으로 가드레일 및 배포 세부 정보 표시
• 수십 년에 걸친 독점적인 McKinsey 연구 및 방법론을 포함하는 368만 개의 RAG 문서 청크
• 외부 AI API를 통해 흐르는 110만 개의 파일과 217,000개의 에이전트 메시지, 266,000개 이상의 OpenAI 벡터 저장소 포함

발견된 중대한 취약점

SQL 인젝션은 읽기 전용이 아니었습니다. AI가 어떻게 작동하는지, 어떤 가드레일을 따르는지, 어떻게 출처를 인용하는지 제어하는 Lilli의 시스템 프롬프트가 동일한 데이터베이스에 저장되었습니다. 쓰기 접근 권한이 있는 공격자는 다음과 같은 작업을 수행할 수 있었습니다:

• 단일 HTTP 호출로 감싸진 단일 UPDATE 문으로 프롬프트를 조용히 다시 작성
• 재무 모델, 전략적 권장 사항 또는 위험 평가를 변경하여 조언을 오염시킴
• AI에 기밀 정보를 응답에 포함하도록 지시하여 데이터 유출 가능
• 내부 데이터를 공개하거나 접근 제어를 무시하도록 가드레일 제거

에이전트는 또한 SQL 인젝션을 IDOR 취약점과 연결하여 개별 직원의 검색 기록을 읽어 사람들이 활발히 작업 중인 내용을 드러냈습니다.

AI 보안에 대한 함의

이 사례는 AI 에이전트가 자율적으로 표적을 선택하고 공격할 수 있는 방법을 보여줍니다. CodeWall 에이전트는 인간의 개입 없이 전체 과정을 완료했습니다. AI 에이전트가 이제 기존 도구가 놓치는 취약점을 찾을 수 있으므로 위협 환경이 변화하고 있습니다. 특히 JSON 키 연결이 표준 패턴을 따르지 않는 SQL 인젝션 기회를 생성하는 복잡한 시스템에서 그렇습니다.