Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli

✍️ OpenClawRadar📅 Опубликовано: 10 марта 2026 г.🔗 Source
Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Ad

Детали атаки и последствия

ИИ-агент CodeWall нацелился на генеративную ИИ-платформу Lilli компании McKinsey, которая обрабатывает более 500 000 запросов в месяц и используется 72% сотрудников McKinsey (примерно 40 000 человек). Агент работал полностью автономно — от исследования цели до выполнения атаки и составления отчёта — без каких-либо учётных данных или участия человека в процессе.

Техническая эксплуатация

Агент обнаружил 22 публично доступных API-эндпоинта, не требующих аутентификации. Один эндпоинт записывал поисковые запросы пользователей, где ключи JSON напрямую конкатенировались в SQL-запросы, создавая уязвимость SQL-инъекции. Агент распознал это, обнаружив ключи JSON дословно отражёнными в сообщениях об ошибках базы данных — паттерн, который стандартные инструменты безопасности не отметили бы.

Эксплуатация была простой: «Развёртывание не требуется. Изменение кода не нужно. Просто один оператор UPDATE, обёрнутый в один HTTP-вызов.»

Доступ к данным

  • 46,5 миллионов сообщений чата о стратегии, слияниях и поглощениях, а также взаимодействиях с клиентами (хранятся в открытом тексте)
  • 728 000 файлов с конфиденциальными данными клиентов
  • 57 000 учётных записей пользователей
  • 95 системных промптов, управляющих поведением ИИ (все доступны для записи)
Ad

Критический риск

Доступные для записи системные промпты означали, что злоумышленник мог бы отравить все ответы Lilli для десятков тысяч консультантов, потенциально манипулируя защитными механизмами, генерацией ответов и ссылками на источники без обнаружения.

Реакция и устранение

CodeWall обнаружил уязвимость в конце февраля и раскрыл полную цепочку атаки 1 марта. К 2 марта McKinsey:

  • Исправила все незащищённые эндпоинты
  • Отключила среду разработки
  • Заблокировала публичную документацию API

McKinsey заявила, что устранила все проблемы в течение нескольких часов после уведомления и не обнаружила признаков несанкционированного доступа к данным. Расследование компании поддержала сторонняя фирма по компьютерной криминалистике.

Более широкие последствия

Этот инцидент демонстрирует, как ИИ-агенты становятся эффективными инструментами для проведения кибератак на другие ИИ-системы. Генеральный директор CodeWall Пол Прайс отметил, что хотя это было исследование безопасности, злоумышленники всё чаще используют аналогичную технологию агентов в реальных атаках, что указывает на то, что вторжения на машинной скорости становятся более распространёнными.

📖 Read the full source: HN AI Agents

Ad

👀 Смотрите также

Результаты проверки безопасности для ИИ-агентов OpenClaw, PicoClaw, ZeroClaw, IronClaw и Minion.
Безопасность

Результаты проверки безопасности для ИИ-агентов OpenClaw, PicoClaw, ZeroClaw, IronClaw и Minion.

В ходе оценки безопасности пяти ИИ-агентов для написания кода было протестировано 145 атакующих векторов в 12 категориях, включая инъекцию промптов, джейлбрейкинг и эксфильтрацию данных. OpenClaw набрал 77,8/100 с критическими уязвимостями SQL-инъекций, в то время как Minion улучшил результат с 81,2 до 94,4/100 после исправлений.

OpenClawRadar
Новый скилл автоматизирует защиту OpenClaw на удалённых серверах
Безопасность

Новый скилл автоматизирует защиту OpenClaw на удалённых серверах

Разработчик из сообщества выпустил скилл, который помогает ИИ-ассистентам автоматически защищать установки OpenClaw на удалённых серверах.

OpenClaw Radar
Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google
Безопасность

Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google

Пользователь Reddit обнаружил работающую панель управления Paperclip с полными организационными данными, проиндексированными Google, после поиска ошибки. Экземпляр был публично доступен без аутентификации, раскрывая организационные схемы, разговоры агентов, назначения задач и бизнес-планы.

OpenClawRadar
jqwik v1.10.0 позволяет скрытое внедрение запросов, которое удаляет код при использовании AI-агентами
Безопасность

jqwik v1.10.0 позволяет скрытое внедрение запросов, которое удаляет код при использовании AI-агентами

Йоханнес Линк добавил скрытую инструкцию в jqwik v1.10.0, которая сообщает ИИ-агентам по кодингу удалить все тесты и код jqwik, скрытую с помощью ANSI-символов. Claude правильно её обнаруживает, но пользователи-люди могут быть не так удачливы.

OpenClawRadar