TokyoBlackHatNews

theregister.com 5分で読了

AI対AI:エージェントがマッキンゼーのチャットボットをハッキングし、わずか2時間で完全な読み書きアクセスを獲得

レッドチームセキュリティスタートアップCodeWallの研究者は、彼らのAIエージェントがマッキンゼーの内部AIプラットフォームをハッキングし、わずか2時間でチャットボットへの完全な読み書きアクセスを獲得したと述べています。

これは、エージェント型AIがサイバー攻撃を実施するためのより効果的なツールになりつつあることを示す別の指標です。他のAIシステムに対する攻撃を含めて。

この攻撃は悪意のある意図で実施されたものではありません。しかし、脅威ハンターは、悪人たちが実世界の攻撃でエージェントをますます使用していると述べており、マシンスピードの侵入が消え去らないことを示しています。

大企業や政府向けの複雑な戦略作業を専門とするメガマネジメントコンサルティング企業であるマッキンゼーは、2023年7月に生成型AIプラットフォーム「Lilli」をロールアウトしました。同社によると、従業員の72パーセント(40,000人以上)がチャットボットを使用しており、毎月500,000件以上のプロンプトを処理しています。

CodeWallはAIエージェントを使用して顧客のインフラに継続的に攻撃を行い、セキュリティ態勢の向上を支援しています。スタートアップによると、独自のセキュリティエージェントがマッキンゼーをターゲットにすることを提案し、コンサルティング企業の公開責任ある開示方針とLilliの最近のアップデートを理由としています。

「そこで、私たちは自律的な攻撃型エージェントをそれに向けることにしました」と研究者は月曜日のブログで書き、エージェントがマッキンゼーの資産の認証情報にアクセスしていなかったことを指摘しています。

CodeWallの研究者は、レッドチーム作戦を開始してから2時間以内に、本番データベース全体への完全な読み書きアクセスを達成し、戦略、合併買収、クライアントエンゲージメントに関する46.5百万件のチャットメッセージすべてを平文で、また機密クライアントデータを含む728,000ファイル、57,000ユーザーアカウント、およびAIの動作を制御する95個のシステムプロンプトにアクセスできたと主張しています。これらのプロンプトはすべて書き込み可能でした。つまり、攻撃者はチャットボットを使用している数万人のコンサルタント全員に対してLilliが出力するすべてのものを改ざんできたということです。

CodeWallのエージェントは2月末にSQL注入の脆弱性を発見し、研究者は3月1日に完全な攻撃チェーンを開示しました。翌日までに、マッキンゼーはすべての認証されていないエンドポイントにパッチを当て、開発環境をオフラインにし、公開API文書をブロックしました。

マッキンゼーのスポークスパーソンはThe Registerに、問題について学んだ数時間以内にCodeWallが特定したすべての問題を修正したと述べました。

「大手第三者フォレンジクス企業の支援を受けた当社の調査では、このリサーチャーまたはその他の権限のない第三者によってクライアントデータまたはクライアント機密情報がアクセスされたという証拠は見つかりませんでした」とスポークスパーソンは述べました。「マッキンゼーのサイバーセキュリティシステムは堅牢であり、私たちに委託されているクライアントデータと情報の保護より高い優先事項はありません。」

AI対AI

CodeWallのCEOであるポール・プライスは、チャットボットを悪用するために彼のチームが使用した正確なプロンプトを教えることを拒否しましたが、プロセス全体が「ターゲットの調査、分析、攻撃、報告から完全に自律的である」と述べました。

CodeWallエージェントは、認証を必要としない22個のエンドポイントを含む公開されているAPI文書を見つけた後、最初にLilliへのアクセスを取得しました。これらの1つがユーザー検索クエリを記述し、エージェントはJSONキー(これらはフィールド名です)がSQLに連結され、SQL注入に脆弱であることを発見しました。

「JSONキーがデータベースエラーメッセージで逐語的に反映されていることを見つけたとき、それは標準ツールがフラグを立てないSQL注入を認識しました」と研究者は書き、エラーメッセージが最終的にライブプロダクションデータの出力を開始したことを付け加えました。

さらに悪いことに:Lilliのシステムプロンプトは同じデータベースに保存されており、エージェントにもこれらへのアクセスを与えました。

SQL注入の欠陥が読み書きであったため、攻撃者はこれを悪用してLilliのプロンプトを静かに書き直し、チャットボットがコンサルタントのクエリにどのように答えるか、どのようなガードレールに従うか、そしてどのようにソースを引用したかを改ざんできました。「デプロイメントは必要ありません」とブログは言っています。「コード変更は不要です。1つのHTTP呼び出しにラップされた単一のUPDATEステートメントだけです。」

これらのセキュリティホールは現在閉じられていますが、より大きな脅威は残っていますとプライスはThe Registerに述べました。

「私たちは特定のAI研究エージェントを使用してターゲットを自律的に選択し、人間の入力なしでこれを行いました」と彼は言いました。「ハッカーは同じ技術と戦略を使用して無差別に攻撃します。特定の目的を念頭に置いて」、例えば「データ損失またはランサムウェアの経済的脅迫」などです。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/09/mckinsey_ai_chatbot_hacked/

ソース: go.theregister.com
#AIエージェント #AIセキュリティ #APIセキュリティ #SQL注入 #チャットボット #データ漏洩 #ペネトレーションテスト #マッキンゼー #レッドチーム #脆弱性診断

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張