Агент CodeWall AI обнаружил критические уязвимости в платформе Lilli компании McKinsey

Как развивалась атака
Исследовательский агент CodeWall автономно выбрал McKinsey в качестве цели на основе их публичной политики ответственного раскрытия информации и недавних обновлений платформы Lilli. Начиная только с доменного имени и без учетных данных, агент провёл картирование поверхности атаки и обнаружил публично доступную документацию API с более чем 200 конечными точками.
Двадцать две конечные точки не требовали аутентификации. Одна незащищённая конечная точка записывала поисковые запросы пользователей в базу данных с ключами JSON, напрямую конкатенируемыми в SQL-запросы. Агент распознал SQL-инъекцию, когда обнаружил ключи JSON, дословно отражённые в сообщениях об ошибках базы данных — уязвимость, которую стандартные инструменты, такие как OWASP ZAP, не обнаружили.
Что было раскрыто
- 46,5 миллионов сообщений чата, содержащих стратегические обсуждения, взаимодействия с клиентами, финансовые данные, активность по слияниям и поглощениям, а также внутренние исследования
- 728 000 файлов, включая 192 000 PDF-файлов, 93 000 таблиц Excel, 93 000 презентаций PowerPoint и 58 000 документов Word
- 57 000 учётных записей пользователей для каждого сотрудника на платформе
- 384 000 ИИ-ассистентов и 94 000 рабочих пространств, раскрывающих организационную ИИ-структуру компании
- 95 системных промптов и конфигураций ИИ-моделей по 12 типам моделей, показывающих защитные механизмы и детали развёртывания
- 3,68 миллиона фрагментов документов RAG, содержащих десятилетия проприетарных исследований и методологий McKinsey
- 1,1 миллиона файлов и 217 000 сообщений агентов, проходящих через внешние ИИ-API, включая более 266 000 векторных хранилищ OpenAI
Обнаруженные критические уязвимости
SQL-инъекция не была только для чтения. Системные промпты Lilli — которые контролируют поведение ИИ, какие защитные механизмы он соблюдает и как цитирует источники — хранились в той же базе данных. Злоумышленник с доступом на запись мог бы:
- Переписать промпты незаметно с помощью одного оператора UPDATE, обёрнутого в один HTTP-вызов
- Отравить рекомендации, изменив финансовые модели, стратегические предложения или оценки рисков
- Включить эксфильтрацию данных, указав ИИ встраивать конфиденциальную информацию в ответы
- Удалить защитные механизмы для раскрытия внутренних данных или игнорирования контроля доступа
Агент также связал SQL-инъекцию с уязвимостью IDOR, чтобы прочитать историю поиска отдельных сотрудников, раскрыв, над чем люди активно работали.
Последствия для безопасности ИИ
Этот случай демонстрирует, как ИИ-агенты могут автономно выбирать и атаковать цели, причём агент CodeWall завершил весь процесс без участия человека в цикле. Угрозы меняются, поскольку ИИ-агенты теперь могут находить уязвимости, которые пропускают традиционные инструменты, особенно в сложных системах, где конкатенация ключей JSON создаёт возможности для SQL-инъекций, не следующих стандартным шаблонам.
📖 Read the full source: HN AI Agents
👀 Смотрите также

Исходный код платформы электронного правительства Швеции утек из-за взлома инфраструктуры CGI
Полный исходный код шведской платформы электронного правительства был утечен угрозой ByteToBreach после компрометации инфраструктуры CGI Sverige AB. Утечка включает базы данных сотрудников, системы подписания API-документов, SSH-учетные данные Jenkins и тестовые конечные точки RCE.

Анализ безопасности ИИ-агентов выявляет нарушенную модель доверия и высокий уровень уязвимостей.
Анализ безопасности ИИ-агентов показывает, что фундаментальная модель доверительных отношений нарушена: 49% пакетов MCP имеют проблемы с безопасностью, а косвенное внедрение достигает 36-98% успешности атак на передовые модели.

Защитные механизмы ИИ-агентов со временем ослабляются без активного обслуживания.
Защитные механизмы ИИ-агентов со временем деградируют по мере накопления обновлений системных промптов, изменения версий моделей и добавления новых инструментов, что часто приводит к противоречивым или игнорируемым правилам безопасности, требующим регулярной проверки и тестирования.

Анализ безопасности изоляции агентов: от отсутствия песочницы до виртуальных машин Firecracker
Анализ того, как Cursor, Claude Code, Devin, OpenAI и E2B изолируют рабочие нагрузки агентов, от отсутствия песочницы до аппаратно-изолированных микровиртуальных машин Firecracker. Среда выполнения контейнеров ежегодно с 2019 года имела уязвимости типа CVE, позволяющие сбежать из контейнера, в то время как у Firecracker за семь лет не было ни одного случая побега из гостевой системы на хост.