--- title: "AI 对抗 AI:代理在短短两小时内入侵了麦肯锡的聊天机器人,并获得了完全的读写权限" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/278764986.md" description: "CodeWall 的研究人员报告称,他们的 AI 代理在仅仅两个小时内成功入侵了麦肯锡的聊天机器人 Lilli,获得了完全的读写权限。此事件突显了 AI 在网络攻击中日益增强的有效性。尽管此次攻击并非恶意,但它展示了 AI 代理在现实世界攻击中被利用的潜力。麦肯锡迅速修补了漏洞,并声称没有客户数据受到损害。该事件引发了人们对未来 AI 在网络威胁中使用的担忧,包括金融勒索和 ransomware" datetime: "2026-03-11T18:31:35.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/278764986.md) - [en](https://longbridge.com/en/news/278764986.md) - [zh-HK](https://longbridge.com/zh-HK/news/278764986.md) --- # AI 对抗 AI:代理在短短两小时内入侵了麦肯锡的聊天机器人,并获得了完全的读写权限 红队安全初创公司 CodeWall 的研究人员表示,他们的 AI 代理在仅仅两个小时内就黑入了麦肯锡的内部 AI 平台,并获得了对聊天机器人的完全读写访问权限。 这再次表明,具备自主能力的 AI 正成为进行网络攻击的更有效工具,包括针对其他 AI 系统的攻击。 这次攻击并非出于恶意。然而,威胁猎手告诉我们,恶意分子越来越多地在现实世界的攻击中使用代理,这表明机器速度的入侵不会消失。 麦肯锡是一家专注于为大型企业和政府提供复杂战略工作的超级管理咨询公司,于 2023 年 7 月推出了其名为 Lilli 的生成式 AI 平台。根据该公司的说法,72% 的员工——超过 40,000 人——现在使用该聊天机器人,每月处理超过 500,000 个提示。 CodeWall 使用 AI 代理持续攻击客户的基础设施,以帮助他们改善安全态势。根据这家初创公司的说法,其安全代理建议针对麦肯锡,引用了该咨询公司的公开负责任披露政策和最近对 Lilli 的更新。 “所以我们决定将我们的自主攻击代理指向它,” 研究人员在周一的博客中写道,并指出该代理没有访问麦肯锡资产的任何凭证。 CodeWall 的研究人员声称,在开始红队突袭的两个小时内,他们获得了对整个生产数据库的完全读写访问权限,并能够访问 4650 万条关于战略、并购和客户参与的聊天消息,所有内容均为明文,以及 728,000 个包含机密客户数据的文件、57,000 个用户账户和 95 个控制 AI 行为的系统提示。这些提示都是可写的,这意味着攻击者可以毒化 Lilli 向所有使用该聊天机器人的数万名顾问输出的内容。 CodeWall 的代理在 2 月底发现了 SQL 注入漏洞,研究人员在 3 月 1 日披露了完整的攻击链。到第二天,麦肯锡已修补了所有未经身份验证的端点,关闭了开发环境,并阻止了公共 API 文档。 麦肯锡的一位发言人告诉 _The Register_,在得知问题后,他们在数小时内修复了 CodeWall 识别的所有问题。 “我们的调查在一家领先的第三方取证公司的支持下,未发现该研究人员或任何其他未经授权的第三方访问客户数据或客户机密信息的证据,” 发言人告诉我们。“麦肯锡的网络安全系统是强大的,我们没有比保护客户数据和我们所信任的信息更高的优先事项。” ### AI 对抗 AI CodeWall 首席执行官 Paul Price 拒绝透露他的团队用来利用聊天机器人的确切提示,但表示整个过程是 “完全自主的,从研究目标、分析、攻击到报告。” CodeWall 代理最初通过找到公开暴露的 API 文档获得了对 Lilli 的访问权限,包括 22 个不需要身份验证的端点。其中一个写入用户搜索查询,代理发现 JSON 键(这些是字段名称)被连接到 SQL 中,并且容易受到 SQL 注入攻击。 “当它发现 JSON 键在数据库错误消息中逐字反映时,它识别出一种标准工具不会标记的 SQL 注入,” 研究人员写道,并补充说错误消息最终开始输出实时生产数据。 更糟糕的是:Lilli 的系统提示存储在同一个数据库中,这使得代理也可以访问这些提示。 - AI 代理现在帮助攻击者,包括朝鲜,管理他们的繁重工作 - 微软 Azure 首席技术官将 Claude 设置在他的 1986 年 Apple II 代码上,称其发现了漏洞 - 带有恶意软件的 OpenClaw 安装程序获得 Bing AI 搜索提升 - OpenAI 表示中国警方使用 ChatGPT 计划和追踪对对手的抹黑行动 由于 SQL 注入漏洞是可读可写的,攻击者可以利用这一点悄悄重写 Lilli 的提示,从而毒化聊天机器人回答顾问查询的方式、遵循的保护措施以及引用的来源。“不需要部署,” 博客上写道。“不需要代码更改。只需一个单独的 UPDATE 语句包装在一个单独的 HTTP 调用中。” 这些安全漏洞现在已被修补——但更大的威胁仍然存在,Price 告诉 _The Register_。 “我们使用了一个特定的 AI 研究代理来自主选择目标,它在没有任何人工输入的情况下完成了这一过程,” 他说。“黑客将使用相同的技术和策略进行无差别攻击,心中有特定目标,” 例如 “因数据丢失进行财务勒索或勒索软件。” ® ### 相关股票 - [CHKP.US](https://longbridge.com/zh-CN/quote/CHKP.US.md) - [CYBR.US](https://longbridge.com/zh-CN/quote/CYBR.US.md) - [BUG.US](https://longbridge.com/zh-CN/quote/BUG.US.md) - [IHAK.US](https://longbridge.com/zh-CN/quote/IHAK.US.md) - [CIBR.US](https://longbridge.com/zh-CN/quote/CIBR.US.md) ## 相关资讯与研究 - [软件股遭 AI“血洗” 网安股却暗藏机遇?投资者或正错失良机](https://longbridge.com/zh-CN/news/281882117.md) - [尽管市场担心伊朗局势,AI 热潮仍再度升温,为什么科技股还能继续上涨](https://longbridge.com/zh-CN/news/282916269.md) - [Myseum 借 AI 更名潮腾飞,效仿 Allbirds 引燃市场](https://longbridge.com/zh-CN/news/283020208.md) - [哈萨比斯:ChatGPT 把 AI 带上了 “邪路”](https://longbridge.com/zh-CN/news/282402210.md) - [AI 健康聊天引发法律与隐私风险](https://longbridge.com/zh-CN/news/283002408.md)