- Автономный ИИ-агент стартапа CodeWall обнаружил и использовал уязвимость SQL-инъекции в корпоративном чат-боте McKinsey Lilli за два часа.
- Полученный доступ позволил агенту проникнуть в базу данных с миллионами сообщений, файлами и системными настройками ИИ-платформы.
- McKinsey оперативно закрыла уязвимости, проведено внутреннее расследование, не выявившее следов взлома со стороны третьих лиц.
Специалисты стартапа CodeWall продемонстрировали серьёзную уязвимость в искусственном интеллекте корпоративного чат-бота McKinsey под названием Lilli. Автономный ИИ-агент, разработанный для тестирования безопасностии, без каких-либо учетных данных и участия человека за два часа получил полный доступ к производственной базе данных платформы. Это стало возможным благодаря использованию классической SQL-инъекции, допущенной в одном из незащищённых API-эндпоинтов, который принимал и сохранял поисковые запросы пользователей.
Lilli является корпоративным ИИ-инструментом, используемым более 43 000 сотрудников McKinsey для поиска в 100 000 внутренних документов и анализа данных, а сама платформа обрабатывает свыше полумиллиона запросов в месяц. С помощью уязвимости автономный агент смог получить доступ к 46,5 миллионам сообщений, сотням тысяч различных файлов — от PDF и таблиц до презентаций, а также к 57 000 аккаунтам сотрудников и 384 000 ИИ-ассистентам, функционирующим в рамках системы.
Отдельную опасность представлял доступ к системным промптам — инструкциям, задающим поведение ИИ. Они хранились в той же базе и имели возможности записи, что позволило бы злоумышленнику незаметно менять ключевые настройки ИИ без изменения кода и следов в логах. Теоретически это могло привести к искажению рекомендаций или отключению защитных механизмов, при этом пользователи платформы не заметили бы подмены.
Компания McKinsey оперативно отреагировала на выявленные проблемы — уже в течение суток после получения отчёта 1 марта все уязвимости были закрыты, среда разработки отключена, а документация публичных API удалена. В официальном расследовании с привлечением сторонних специалистов не было установлено доказательств несанкционированного доступа к клиентским данным. Однако эксперты отмечают, что проведённый CodeWall тест подтвердил возможность доступа, но не факт фактической утечки, а вопрос законности такой проверки остаётся открытым в силу условий политики ответственного раскрытия уязвимостей McKinsey.
В целом ситуация демонстрирует, насколько даже крупные и технологически продвинутые корпорации остаются уязвимы к давно известным методам атаки и подчёркивает важность постоянного контроля и стороннего аудита безопасности ИИ-систем.
