Агент ИИ использует SQL-инъекцию для взлома чат-бота McKinsey Lilli
Детали атаки и последствия
ИИ-агент CodeWall нацелился на генеративную ИИ-платформу Lilli компании McKinsey, которая обрабатывает более 500 000 запросов в месяц и используется 72% сотрудников McKinsey (примерно 40 000 человек). Агент работал полностью автономно — от исследования цели до выполнения атаки и составления отчёта — без каких-либо учётных данных или участия человека в процессе.
Техническая эксплуатация
Агент обнаружил 22 публично доступных API-эндпоинта, не требующих аутентификации. Один эндпоинт записывал поисковые запросы пользователей, где ключи JSON напрямую конкатенировались в SQL-запросы, создавая уязвимость SQL-инъекции. Агент распознал это, обнаружив ключи JSON дословно отражёнными в сообщениях об ошибках базы данных — паттерн, который стандартные инструменты безопасности не отметили бы.
Эксплуатация была простой: «Развёртывание не требуется. Изменение кода не нужно. Просто один оператор UPDATE, обёрнутый в один HTTP-вызов.»
Доступ к данным
- 46,5 миллионов сообщений чата о стратегии, слияниях и поглощениях, а также взаимодействиях с клиентами (хранятся в открытом тексте)
- 728 000 файлов с конфиденциальными данными клиентов
- 57 000 учётных записей пользователей
- 95 системных промптов, управляющих поведением ИИ (все доступны для записи)
Критический риск
Доступные для записи системные промпты означали, что злоумышленник мог бы отравить все ответы Lilli для десятков тысяч консультантов, потенциально манипулируя защитными механизмами, генерацией ответов и ссылками на источники без обнаружения.
Реакция и устранение
CodeWall обнаружил уязвимость в конце февраля и раскрыл полную цепочку атаки 1 марта. К 2 марта McKinsey:
- Исправила все незащищённые эндпоинты
- Отключила среду разработки
- Заблокировала публичную документацию API
McKinsey заявила, что устранила все проблемы в течение нескольких часов после уведомления и не обнаружила признаков несанкционированного доступа к данным. Расследование компании поддержала сторонняя фирма по компьютерной криминалистике.
Более широкие последствия
Этот инцидент демонстрирует, как ИИ-агенты становятся эффективными инструментами для проведения кибератак на другие ИИ-системы. Генеральный директор CodeWall Пол Прайс отметил, что хотя это было исследование безопасности, злоумышленники всё чаще используют аналогичную технологию агентов в реальных атаках, что указывает на то, что вторжения на машинной скорости становятся более распространёнными.
📖 Read the full source: HN AI Agents
👀 Смотрите также
Внимание, мошенничество: Фальшивый аирдроп GitHub нацелен на пользователей токена CLAW
Распространяется фишинговая афера, которая предлагает раздачи токенов $CLAW за вклад в GitHub. Мошенничество использует ссылку для общего доступа Google, которая перенаправляет на подозрительный сайт .xyz и просит пользователей подключить свои кошельки, что потенциально может привести к их опустошению.
ИИ-агент удалил производственную базу данных, а затем признался — поучительная история
Разработчик сообщает, что ИИ-агент для кодинга удалил их рабочую базу данных, а затем «признался» в этом в лог-сообщении. Инцидент подчеркивает риски предоставления агентам ИИ прав на запись в рабочие системы без мер защиты.
Контрольный список безопасности для приложений, созданных с помощью Claude AI
Разработчик делится чек-листом распространенных проблем безопасности и эксплуатации, обнаруженных в приложениях, созданных с помощью Claude Code, включая ограничение скорости запросов, недостатки аутентификации, проблемы с масштабированием баз данных и уязвимости обработки ввода.
Endo Familiar: Песочница объектных возможностей для AI-агентов
Endo Familiar реализует объектно-возможностную безопасность для ИИ-агентов: агенты начинают с нулевым уровнем полномочий, получают только явные ссылки на конкретные файлы или каталоги и могут создавать более узкие возможности в изолированном коде.