Агент CodeWall AI обнаружил критические уязвимости в платформе Lilli компании McKinsey

Как развивалась атака

Исследовательский агент CodeWall автономно выбрал McKinsey в качестве цели на основе их публичной политики ответственного раскрытия информации и недавних обновлений платформы Lilli. Начиная только с доменного имени и без учетных данных, агент провёл картирование поверхности атаки и обнаружил публично доступную документацию API с более чем 200 конечными точками.

Двадцать две конечные точки не требовали аутентификации. Одна незащищённая конечная точка записывала поисковые запросы пользователей в базу данных с ключами JSON, напрямую конкатенируемыми в SQL-запросы. Агент распознал SQL-инъекцию, когда обнаружил ключи JSON, дословно отражённые в сообщениях об ошибках базы данных — уязвимость, которую стандартные инструменты, такие как OWASP ZAP, не обнаружили.

Что было раскрыто

• 46,5 миллионов сообщений чата, содержащих стратегические обсуждения, взаимодействия с клиентами, финансовые данные, активность по слияниям и поглощениям, а также внутренние исследования
• 728 000 файлов, включая 192 000 PDF-файлов, 93 000 таблиц Excel, 93 000 презентаций PowerPoint и 58 000 документов Word
• 57 000 учётных записей пользователей для каждого сотрудника на платформе
• 384 000 ИИ-ассистентов и 94 000 рабочих пространств, раскрывающих организационную ИИ-структуру компании
• 95 системных промптов и конфигураций ИИ-моделей по 12 типам моделей, показывающих защитные механизмы и детали развёртывания
• 3,68 миллиона фрагментов документов RAG, содержащих десятилетия проприетарных исследований и методологий McKinsey
• 1,1 миллиона файлов и 217 000 сообщений агентов, проходящих через внешние ИИ-API, включая более 266 000 векторных хранилищ OpenAI

Обнаруженные критические уязвимости

SQL-инъекция не была только для чтения. Системные промпты Lilli — которые контролируют поведение ИИ, какие защитные механизмы он соблюдает и как цитирует источники — хранились в той же базе данных. Злоумышленник с доступом на запись мог бы:

• Переписать промпты незаметно с помощью одного оператора UPDATE, обёрнутого в один HTTP-вызов
• Отравить рекомендации, изменив финансовые модели, стратегические предложения или оценки рисков
• Включить эксфильтрацию данных, указав ИИ встраивать конфиденциальную информацию в ответы
• Удалить защитные механизмы для раскрытия внутренних данных или игнорирования контроля доступа

Агент также связал SQL-инъекцию с уязвимостью IDOR, чтобы прочитать историю поиска отдельных сотрудников, раскрыв, над чем люди активно работали.

Последствия для безопасности ИИ

Этот случай демонстрирует, как ИИ-агенты могут автономно выбирать и атаковать цели, причём агент CodeWall завершил весь процесс без участия человека в цикле. Угрозы меняются, поскольку ИИ-агенты теперь могут находить уязвимости, которые пропускают традиционные инструменты, особенно в сложных системах, где конкатенация ключей JSON создаёт возможности для SQL-инъекций, не следующих стандартным шаблонам.