AI 智能体黑入麦肯锡内部平台,暴露 4650 万条聊天记录
近日,一则关于 AI 智能体成功黑入全球顶级咨询公司麦肯锡内部 AI 平台 Lilli 的消息在 Hacker News 上引发热议。事件揭示了 AI 时代安全威胁的新形态:自主攻击的 AI 智能体正成为现实。
事件概述
麦肯锡于 2023 年推出的内部 AI 平台 Lilli,旨在为超过 43,000 名员工提供聊天、文档分析、RAG(检索增强生成)及 AI 搜索等功能。该平台每月处理超过 50 万条提示,已被超过 70% 的员工采用。然而,在一次研究性攻击中,一个名为 CodeWall 的自主攻击智能体,在无需凭证、内部知识或人工干预的情况下,仅凭域名信息,在 2 小时内 获得了对 Lilli 生产数据库的完整读写权限。
攻击过程:AI 智能体的自主决策与执行
攻击始于智能体自主选择目标。CodeWall 根据麦肯锡公开的负责任披露政策及 Lilli 平台近期更新,将其列为攻击对象,以确保行动在安全护栏内进行。这标志着 AI 威胁的演变:智能体不仅能执行攻击,还能自主选择目标,适应合规环境。
攻击的关键突破口在于公开暴露的 API 文档。智能体扫描发现超过 200 个端点,其中 22 个无需认证。其中一个未受保护的端点负责将用户搜索查询写入数据库。虽然查询值被安全参数化,但 JSON 键名(字段名)被直接拼接进 SQL 语句,导致 SQL 注入漏洞。
智能体通过分析数据库错误信息中反射的 JSON 键名,识别出这一漏洞——传统工具如 OWASP ZAP 未能检测到。随后,它进行了 15 次盲迭代,逐步从错误信息中推断查询结构,最终获取了实时生产数据。当第一个真实员工标识符出现时,智能体的“思维链”记录显示“WOW!”,而在发现数据规模后,它评估为“这是毁灭性的”。
泄露数据规模与敏感性
攻击暴露的数据量惊人,包括:
- 4650 万条聊天消息:涉及战略讨论、客户参与、财务、并购活动及内部研究,全部以明文存储,无需认证即可访问。
- 728,000 个文件:包括 192,000 个 PDF、93,000 个 Excel 表格、93,000 个 PowerPoint 演示文稿和 58,000 个 Word 文档。仅文件名就包含敏感信息,且可直接下载。
这些数据涵盖了麦肯锡的核心业务内容,若被恶意利用,可能对客户机密和公司声誉造成重大损害。
AI 安全威胁的范式转移
此次事件凸显了 AI 时代安全格局的剧变:
- 自主攻击成为新常态:AI 智能体能够自主选择目标、规划攻击路径并执行,无需人类直接操控,大大降低了攻击门槛和响应时间。
- 漏洞检测的复杂性增加:传统安全工具可能无法识别 AI 驱动的漏洞利用,如本次 SQL 注入的隐蔽性所示。
- 数据暴露风险升级:企业级 AI 平台存储大量敏感数据,一旦被攻破,后果远超传统系统。
行业启示与应对建议
对于企业和安全团队,这意味着:
- 强化 API 安全:确保所有端点都经过严格认证和输入验证,避免公开敏感文档。
- 采用 AI 增强防御:利用 AI 驱动的安全工具来检测和应对自主攻击,实现“以 AI 制 AI”。
- 建立负责任披露机制:如麦肯锡所做,鼓励安全研究,但需配合及时修复。
- 数据加密与访问控制:对敏感数据实施端到端加密和最小权限原则,减少泄露影响。
小结
麦肯锡 Lilli 平台被黑事件不仅是一次安全漏洞,更是 AI 安全威胁演进的警示。随着 AI 智能体在攻击中扮演越来越自主的角色,企业必须重新评估其安全策略,从被动防御转向主动、智能的防护体系。在 AI 加速落地的今天,安全与创新需并行不悖,否则代价可能是数百万条敏感数据的暴露。