摘要: 研究人员在CodeWall公司使用AI代理成功入侵麦肯锡的内部AI平台Lilli,并在不到两小时内获得了对聊天机器人的完全读写访问权限。这表明,具有自主性的AI正成为网络攻击的有效工具,包括针对其他AI系统的攻击。CodeWall使用AI代理来攻击客户的基础设施以提升其安全性,他们选择攻击麦肯锡是因为其公开的负责任披露政策和Lilli的更新。攻击过程中发现了SQL注入漏洞,导致攻击者可以访问包含策略、并购和客户合作信息的4600万条聊天消息以及包含机密客户数据的728,000个文件。麦肯锡迅速修复了所有问题,并表示没有发现客户数据或机密信息被未经授权访问的证据。CodeWall的CEO Paul Price表示,黑客可能会使用类似的技术和策略进行无差别的攻击,目标可能是数据丢失的勒索或加密软件。
讨论: 内容主要讨论了关于软件公司发布不安全代码的问题。第一段提到应正确归因于人类而非AI代理进行黑客行为。第二段则批评了一家公司因为急于发布产品而发布了不安全的代码,并指出这篇文章可能是一则广告。
原文标题:AI Agent hacked McKinsey’s chatbot and gained full read-write access in 2 hours
原文链接:https://www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/
讨论链接:https://news.ycombinator.com/item?id=47324045