IT资源栈安全研究团队CodeWall展示了一场令人震惊的AI自动化渗透测试:其自主攻击型Agent在无任何凭证的情况下,仅用两小时便攻破了全球顶级咨询公司麦肯锡的内部AI平台“Lilli”。该Agent通过发现公开API文档中未受保护的JSON键值SQL注入漏洞,不仅获取了数据库的读写权限,还利用IDOR漏洞窃取了4650万条聊天记录、72.8万份敏感文件及5.7万员工账户信息。更致命的是,攻击者可利用写权限篡改系统Prompt,实现对AI模型的“投毒”,从而隐蔽地操纵输出结果。这一事件表明,在AI时代,老旧的代码漏洞与全新的Prompt指令层风险叠加,正让企业面临前所未有的自动化攻击威胁。
原文链接:Hacker News
评论前必须登录!
立即登录 注册