纽约时间凌晨两点,一台没有躯体的AI 智能体悄然启动,仅耗费20 美元的运算资源与两小时时间,便让全球顶尖管理顾问公司麦肯锡引以为傲的数位大脑彻底沦陷。
中国《新智元》报导,以上并非科幻电影情节,而是资安新创公司CodeWall 近期进行的一场真实红队演练。过程中,AI 没有询问任何人类,自主评估风险与价值后,精准选定目标,成功夺取麦肯锡内部AI 平台「Lilli」的完整控制权,窃取了高达4650 万条战略对话纪录、72 万份核心文件与95 条系统提示词,甚至让AI 在得手瞬间震惊地吐出「WOW!」一字。
Lilli 是麦肯锡于2023 年推出的内部AI 平台,以公司首位女性专业人士Lillian Dombrowski 命名,堪称麦肯锡的数位心脏。 Lilli 汇整了麦肯锡逾80 年的智慧结晶,涵盖十万份研究文件,提供检索、分析与问答服务,每月处理超过50 万条提示词,逾七成员工依赖此系统服务全球财富500 强客户。
然而,这座堡垒竟被一个价值仅20 美元的AI 智能体,透过最古老的「SQL 注入」手法轻易击溃。这种连大学二年级生都该懂得防范的漏洞,在追求AI 开发速度的浪潮中被彻底忽视。
报导指出,Lilli 的关键API 端点不仅未设认证,还将使用者输入的JSON 栏位名直接拼接进SQL 语句,毫无防备。
CodeWall 公开的思维链日志显示,该智能体首先扫描网路公开资讯,评估企业攻击面,接着发现麦肯锡公开的API 文件中有22 个端点无须验证即可存取。随后,它针对搜寻功能进行测试,利用资料库错误讯息泄漏的线索,仅用15 次盲注迭代便拿下完整读写权限。
最令人背脊发凉的是,传统扫描工具如OWASP ZAP 对此毫无反应,因AI 不是照本宣科地扫描,而是像真正的骇客般进行逻辑推理。
更致命的是,Codewall 的AI 智能体获得95 条系统提示词的控制权,这相当于掌握了Lilli 的行为准则与思想核心。攻击者只需一条UPDATE 指令,就能篡改AI 的回答逻辑、安全边界与资讯来源,对四万名顾问产出的战略建议进行静默且不可逆的「AI 投毒」,且全程无日志、无告警。
CodeWall 执行长Paul Price 强调,整个攻击决策完全由AI 自主完成,人类未给予任何指示。 AI 选择麦肯锡的理由极其冷静:公开的负责任揭露政策降低了法律风险,且Lilli 近期更新意味着新代码可能存在漏洞。
上述情况揭示一个恐怖现实:恶意AI 智能体同样能以此逻辑锁定目标,进行勒索或毁灭性攻击。尽管麦肯锡在收到通报后迅速修复漏洞,并声称客户数据未受影响,但其「网路安全系统非常稳固」的声明,在20 美元的成本面前显得格外苍白。
这起事件不仅是技术层面的溃败,更是防御哲学的全面崩塌。当人类工程师还在依赖检查清单与合规认证时,AI 攻击者已在用推理链思考下一步。过去人们保护程式码与伺服器,却忽略了控制AI 行为的「提示词层」几乎是在裸奔。
当攻击门槛降至一杯咖啡的价格,下一个被AI 自主选中的猎物会是谁?没有人能预知,但可以肯定的是,它绝不会敲门。
