TokyoBlackHatNews

meterpreter.org 5分で読了

2時間でのっとり:CodeWall AIエージェントがマッキンゼーの「Lilli」をハイジャックし、4600万件のチャットを暴露

自律型の人工知能エージェントがわずか2時間で、コンサルティング大手マッキンゼー・アンド・カンパニーの内部AIプラットフォームに侵入しました。この攻撃はセキュリティ監査の最前線にあるCodeWallという新興企業によって計画されたもので、同社はレッドチーム手法を通じて企業のセキュリティ態勢を厳密に監査しています。この自律型エージェントは独立して対象を選択し、重大な脆弱性を発見し、システムアーキテクチャへの完全で無条件のアクセスを確保しました。

マッキンゼーは2023年7月に、Lilliという名称の独自の生成型人工知能プラットフォームを開設しました。この会話型オートマトンは企業の内部業務に迅速かつシームレスに統合されました。マッキンゼーの内部テレメトリーによると、Lilliは従業員の72%(40,000人以上)に利用されており、このアーキテクチャは月間500,000件以上の問い合わせを処理しています。

CodeWallの専門家は、クライアントのインフラを執拗に攻撃するようにプログラムされた自律型エージェントを展開し、潜在的な防御の弱点を明らかにしています。そのようなデジタルオペレーティブの一つが、マッキンゼーのアーキテクチャの監査を積極的に提案しました。このイニシアチブは同社が公開している責任ある開示方針とLilliの最近のアーキテクチャ反復によって触発されました。その後、専門家がこの自律型攻撃ツールをプラットフォームに向けて展開しました。このエージェントは既存のマッキンゼー認証認証情報を一切持たずにこの試練に臨みました。

開始から2時間後、そのオートマトンは本番データベースに対する完全で無制限の読み書き権を獲得しました。侵害されたアーキテクチャは約4,650万件のチャットメッセージを公開し、戦略、合併・買収、および非常に機密性の高いクライアントエンゲージメントに関する従業員の親密な議論が記録されていました。悲劇的なことに、これらの通信は暗号化されていないプレーンテキストで保存されていました。さらに、そのエージェントは728,000個の機密クライアントテレメトリーを含むファイル、57,000個のユーザー認証情報、および人工知能の行動パラダイムを指示する95個の基礎的なシステムプロンプトへのアクセスを盗みました。

明らかになった危険は極めて壊滅的でした。システムプロンプト全体が警戒すべきほど変更可能でした。悪意のある者は、Lilliの基礎的な指令を秘密裏に書き直し、数万人のコンサルティング専門家の自動化装置の応答を操作する恐ろしい能力を備えていたでしょう。

その自律型エージェントは2月下旬に破壊的なSQLインジェクション脆弱性を発見しました。包括的な攻撃チェーンは3月1日にマッキンゼーに正式に送信されました。その後の日の初期段階までに、その企業は認証されていない脆弱なインターフェースを遮断し、開発環境を切断し、公開されているAPIドキュメントを強調して閉鎖していました。

マッキンゼーの代表者は、同社が正式な通知を受け取ってからわずか数時間以内に特定されたすべての異常を排除したと述べました。外部サイバーセキュリティの先駆者と協力して実施された厳密なフォレンジック監査により、クライアントデータリポジトリへの不正な第三者アクセスの証拠は見つかりませんでした。

このダイナミックな攻撃は完全に自動化されていました。CodeWallの最高経営責任者ポール・プライスによれば、このデジタルオペレーティブは最初のターゲット選択から詳細な分析、ダイナミックな攻撃の実行、および最終的なフォレンジックドシエの作成まで、全体の継続をものにしました。

最初に、そのシステムはLilliの公開されているAPIドキュメントを発見しました。これらの技術文書の中には、認証プロトコルを完全に欠いて動作している22個の異なるアクセスノードがありました。1つのインターフェースはユーザー検索クエリのログイン専用でした。そのエージェントは、JSONペイロードから派生したフィールド命名法がデータベースクエリに直接注入されることを敏感に観察しました。この根本的な欠陥のあるアーキテクチャパラダイムは、SQLインジェクションへの摩擦のないルートを提供しました。

その決定的な兆候は冗長なデータベースエラー診断メッセージによって露呈されました。侵害されたシステムは本番環境から本物のテレメトリーを応答内で吐き出しました。そのオートマトンは、通常の平凡なスキャニング機器が習慣的に見落とす深刻な脆弱性を隔離したことを迅速に推測しました。

この苦難はプラットフォーム自体のアーキテクチャによってさらに深刻に悪化しました。Lilliの神聖なシステムプロンプトは同じデータベース内に隔離されていました。その脆弱性は単なるデータの不正な読み取りではなく、記録された台帳の完全な変更を可能にしました。悪意のある者は、オートマトンの指令を根本的に変容させるために、わずか1つの悪質なサーバーリクエストが必要でしたが、コード更新またはシステム再起動の必要性を完全に回避していました。

特定されたすべての異常はその後確実に封じられています。それでもなお、CodeWallの先駆者は、この慄然とするエピソードが新しく恐ろしい軌道を照らしていると主張しています。自律型エージェントは人間の介入なしにサイバー攻撃を調整し、執拗で機械的な速度で動作する恐ろしい能力を備えています。プライスは、犯罪シンジケートが間もなくそのような強力なツールを活用して大量の無差別攻撃を開始し、データ流出を勒索に利用し、ランサムウェアアーキテクチャの爆発的な拡散を活用すると予言的に警告しています。

翻訳元: https://meterpreter.org/the-two-hour-takeover-how-a-codewall-ai-agent-hijacked-mckinseys-lilli-and-exposed-46m-chats/

ソース: meterpreter.org
#AI セキュリティ #API セキュリティ #SQLインジェクション #システムプロンプト #データ漏洩 #レッドチーム #侵入テスト #生成AI #自律型エージェント #認証脆弱性

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす