About Teletype
Join
hackerplace.info
@hackerplace_org
March 17

ИИ взломал ИИ: автономный агент за 2 часа пробил корпоративного чат-бота McKinsey через уязвимость из 90-х

Cалют, ребята!
На связи Bloody 🩸

Название статьи - не кликбейт и это действительно смешно и одновременно пугающе.

Стартап CodeWall запустил своего автономного ИИ-агента и дал ему простую задачу: «Найди себе цель и попробуй её взломать». Агент покопался в HackerOne, увидел свежую программу bug bounty от McKinsey и решил: «Почему бы и нет».

Целью стал Lilli — внутренний ИИ-чат-бот McKinsey, которым пользуются 43 000 сотрудников компании. Эта система искала по 100 000 внутренних документов, анализировала файлы и отвечала на полмиллиона промптов в месяц. По сути — вся корпоративная память компании.

Что сделал агент? За два часа он получил полный доступ к продакшн-базе данных. Без паролей, без инсайдера, без единого человека за спиной.

Как? Через классическую SQL-инъекцию, которую можно было найти ещё в 90-х годах. API-документация лежала в открытом доступе (более 200 эндпоинтов, 22 из них работали вообще без аутентификации). Агент начал тестировать поля в JSON-запросах, заметил ошибку в ответе и за 15 попыток восстановил структуру SQL-запроса.

Результат:

  • 46,5 миллиона сообщений в открытом виде
  • 728 000 файлов (включая PDF, Excel, PowerPoint)
  • 57 000 аккаунтов сотрудников
  • 3,68 миллиона фрагментов RAG-базы — по сути вся внутренняя память компании

Но самое опасное — агент мог не только читать, но и писать. Одним UPDATE-запросом он мог изменить системные промпты Lilli для всех 43 000 сотрудников. То есть полностью переписать поведение ИИ компании без единого деплоя и почти без следов.

McKinsey прибежала, выключила всё, спрятала доки и такая: "Клиентские данные целы". Но у комьюнити и аналитиков уже вопросики: если вас взломали — где пруфы, что никто ничего не спиздил?

Что это значит для нас в 2026 году

Ребята, это уже не единичный случай. Это начало новой эры, когда ИИ начинает взламывать других ИИ быстрее, чем человек успевает допить кофе.

Выводы простые и довольно жёсткие:

  • Даже огромные корпорации с огромными бюджетами продолжают допускать ошибки уровня 1998 года.
  • Автономные ИИ-агенты уже реально опасны. Они самостоятельно ищут цели, анализируют и эксплуатируют уязвимости.
  • Если у вас есть хоть какой-то публичный API — вы в зоне риска. Особенно если там JSON-запросы напрямую подставляются в базу без нормальной проверки.
  • «Мы используем ИИ для безопасности» теперь звучит уже не как преимущество, а как новый вектор атаки.

Что делать? Проверяйте даже «мелкие» эндпоинты. Не полагайтесь только на то, что «у нас всё современное и защищённое». И помните: самый опасный баг часто прячется там, где никто не ожидает — в старом, забытом коде.

🩸

➡️ Да, хочу ⬅️

Не открывается ссылка? Скопируй ее и войди через бесплатный онлайн-прокси (кликабельно)
March 17, 14:01
0 views
0 reposts