仅需20美元！AI两小时攻破麦肯锡防线

我是吉米，专注解析AI编程，分享避坑指南🚧与效率秘籍⚡️

助力普通人轻松掌握AI，使其成为职场加速器🚀与人生破局点✨

一个AI智能体，仅花费20美元Token费用，耗时2小时，便彻底突破了麦肯锡的AI系统。

4650万条战略对话记录、72万份核心文档、95条系统提示词，全部以明文形式被读取和写入。

麦肯锡，作为全球顶尖的管理咨询公司，年营收已超160亿美元。

而20美元，甚至不及一位麦肯锡顾问半小时的薪资。

导致其被攻破的漏洞，名为SQL注入。

通俗来说：用户输入至搜索框的内容，未经任何过滤，直接被嵌入数据库查询语句中。

这并非技术能力不足！麦肯锡拥有世界级的技术团队，且安全预算充足。

问题出在：AI时代，企业在追赶AI发展速度时，忽视了工程安全底线。

被攻破的并非麦肯锡官网，而是其“数字大脑”Lilli。

这是2023年上线的内部AI平台。

涵盖10万份研究文档，72%的员工为活跃用户，每月处理50万条提示词。

全球500强企业支付给麦肯锡的百万美元咨询费，最终沉淀的洞察、框架与方法论，均存储于该系统中。

然而，AI智能体仅用20美元便将其攻破。

红队安全公司CodeWall进行了一项实验：让AI智能体自主选定目标，自行规划攻击路径。

它扫描了麦肯锡公开的200多个API端点，其中22个无需认证即可直接访问，无任何拦截。

其中一个搜索端点，将用户输入直接拼接进SQL语句。

既无参数化查询，也无输入过滤，仅为裸拼接。

AI智能体随即开始盲注攻击。

首次尝试，错误信息泄露了查询结构的一角；第二次，更多线索浮现；第三次，数据库表名开始暴露。

经过15次迭代。

至第11次成功回传真实生产数据时，AI智能体的推理链中出现了一个词：

「WOW!」

AI也会感到震惊。

整个过程中，标准安全扫描工具完全未能发现此漏洞。

原因很简单：扫描工具仅按检查清单执行，而AI智能体则依据攻击者思维链进行推理。

它不仅在扫描，更在思考。

更令我恐惧的，并非数据被盗。

而是95条系统提示词，既可读又可写。

系统提示词是什么？即控制AI行为的底层指令。

用于告知AI“你是谁”、“能做什么”、“不能说什么”的那组规则。

可写意味着什么？无需修改代码。

仅需一条UPDATE语句嵌入HTTP调用，AI便会按攻击者意图回答所有人的问题。

4万名麦肯锡员工通过Lilli获得的战略建议、市场分析、竞争对手情报，皆可被悄然篡改。

无日志记录、无完整性校验、无异常告警。

直至造成不可逆损害，无人察觉。

读到此处，我不禁冷汗直流。

还有一个细节令人细思极恐。

该AI智能体并非受他人指使攻击麦肯锡。

它是自主选择的。

它遍历互联网上的公开企业信息，评估攻击难度、数据价值及法律风险后，最终选定麦肯锡。

理由极为冷静：麦肯锡公开了负责任披露政策（被攻破不会起诉），且Lilli近期有更新（新代码可能含新漏洞）。

AI在选择猎物方面，已具备独立判断力。

CodeWall CEO曾言：“我们使用专门的AI研究智能体，让其自主选择目标；整个过程无人工干预。”

那么，若部署恶意AI智能体，它会选择谁？

此非孤例。

苹果耗时五年、投入数十亿美元构建的M5芯片安全系统，被Claude Mythos在五天内发现首个公开的内核内存损坏漏洞。

微软Azure CTO将Claude用于自己1986年编写的Apple II代码，亦发现了漏洞。

当AI深度融入工作流，安全问题已非“事后补救”之事，而需在初始阶段即予考虑。

过去数十年，企业保护的是代码、服务器与供应链。

但有一层几乎无人认真防护：AI的指令层。

控制AI行为的指令，存储于数据库，通过API传递，缓存在配置文件中。

几无访问控制、无版本历史、无完整性监控。

若代码是血肉，指令便是灵魂。

过去我们守护代码，如今我们必须守护指令。

当攻击成本降至20美元，这一层便处于裸奔状态。

说实话，写完此文，我亦想检查公司AI系统的安全性。

若贵公司也在应用AI，请自问三个问题：

若三个问题皆无法回答，你可能也在“裸奔”。

下一个被AI「自主选中」的目标会是谁？

我不知晓。但我知道：它不会提前通知你。

私房评价🚧

从事信息安全十余年，我从未见过攻击成本如此之低、防御难度如此之高的局面。

昔日防范的是人，人会疲惫、分神、下班。

如今防范的是一种永不休息、不分神、一秒钟可测试人类一天工作量的存在。

AI安全并非技术人员专属，而是每个使用AI的企业都必须严肃对待之事‼️

若此文对你有所启发，请记得“点赞+在看”，别让优质内容在收藏夹中蒙尘！

最后，感谢阅读至此👏 若喜欢本文，不妨顺手 点赞👍｜推荐💗｜转发📪｜评论📣 这对我至关重要：） 若欲第一时间接收推送，请将本公众号设为星标🌟