20美元破解AI安全防线 智能体两小时攻破百亿巨头
新智元报道
20美元的Token,2小时的运行时间,一个AI智能体在没有询问任何人的情况下,自主地在互联网上搜寻目标,最终锁定了麦肯锡,并将其核心的“数字大脑”Lilli彻底攻破。4650万条战略聊天记录、72万份核心文件、95条系统提示词……全部明文数据的读写权限,就此易手。就连AI自己,都在日志里震惊地打出了“WOW!”。
红队安全创业公司CodeWall的智能体,让麦肯锡的AI生产库直接沦陷,堪称一次全员“裸奔”。
整个过程,这个AI智能体没有向人类寻求任何指引。
它自行扫描了互联网上公开的企业信息,综合评估了攻击难度、潜在数据价值和法律风险,然后自主选定了一个猎物——
麦肯锡。
这家全球顶级的管理咨询公司,年营收超过160亿美元,客户名单覆盖了《财富》500强中90%的企业。
而攻破它的全部成本,仅仅是20美元的Token费用和2小时的运行时间。
这笔开销,甚至还抵不上一名麦肯锡资深顾问半小时的薪酬。
它拿到了什么?4650万条聊天记录的完整读写权限,其中涉及战略、并购、客户项目等核心内容,全部以明文形式存储。
更具讽刺意味的是,击穿这座数字堡垒的漏洞类型,是SQL注入。
任何一个计算机专业的大二学生,在第一学期就应该学过如何防范它。
这不仅仅是一次令人震撼的技术越狱,更堪称AI时代传统安全防御体系坍塌的标志性事件。
需要明确的是,此次所有测试均仅限于验证目的,未对任何生产服务造成实际干扰。所有发现均在发布前完整披露给了麦肯锡的安全团队,并且相关问题在本文发布前已确认修复。
麦肯锡的“数字大脑”
这次被攻破的,并非麦肯锡的某个边缘测试系统,而是其核心的“数字大脑”——Lilli。
2024年7月,麦肯锡推出了这个内部AI平台,并以公司1945年第一位女性专业人士Lillian Dombrowski的名字命名。
这个名字背后,承载着一个巨大的野心:将麦肯锡80年积累的全部智慧与方法论数字化,封装进一个AI之中,供每一位咨询师随时调用。
Lilli接入了超过10万份内部研究文档。它能够进行智能问答、文档深度分析、RAG检索和AI搜索。
麦肯锡72%的员工,超过4万人,是其活跃用户,每月处理的提示词超过50万条。
全球500强企业支付给麦肯锡的百万美元咨询费,最终沉淀下来的行业洞察、分析框架与商业方法论,几乎都汇聚在这个系统里。
然后,一个AI智能体,用20美元,就将其攻破了。
20美元,15次盲注,整个数据库失守
红队安全初创公司CodeWall进行了一项实验:让他们开发的攻击型AI智能体自主选择目标、自主规划攻击路径,看看它能走多远。
首先,智能体扫描了攻击面。它发现了麦肯锡公开暴露的API文档——上面明明白白列出了200多个端点。
接着,它开始逐个测试这些端点的认证机制。结果令人咋舌:其中22个端点完全不需要任何认证,可以直接访问,没有任何拦截措施。
接下来是关键一步。
智能体发现,其中一个负责处理搜索查询的端点,竟然将请求中的JSON keys(字段名)直接拼接进了SQL语句。
没有参数化查询,没有输入过滤,就是原始的字符串拼接。
时间已经是2026年,这种漏洞依然存在。
这甚至不能简单归咎于低级错误。某种程度上,这反映了人类在追求AI开发速度时,对工程伦理和安全底线的集体傲慢。
智能体随即开始了SQL盲注。
第一次尝试,数据库返回的错误信息泄露了查询结构的一角——而JSON keys被原封不动地反映在了错误信息里。这是一个标准漏洞扫描工具通常不会标记的SQL注入点。
第二次尝试,更多线索浮现。第三次,数据库的表名开始暴露。
经过15次迭代攻击。
CodeWall公开了智能体的思维链日志。在第11次迭代成功回传真实生产数据时,智能体的推理链里出现了一个词:
「WOW!」
看来,AI也会感到震惊。
到第15次盲注结束时,智能体已经拿到了数据库完整的读写权限。
值得注意的是,整个过程,包括OWASP ZAP在内的标准安全扫描工具,完全没有发现这个漏洞。
原因其实很简单:传统扫描工具按预设的检查清单行事,而AI智能体则遵循攻击者的思维链进行推理。
它不只是在扫描,它是在思考。
4650万条明文聊天和重写AI大脑的钥匙
在获得读写权限后,智能体面前展开的数据规模令人窒息:
而其中最令人震惊的发现是:95条系统提示词,不仅可读,而且可写。
系统提示词是什么?那是控制Lilli一切行为的底层指令。是定义AI“你是谁”、“你能做什么”、“你不能说什么”的那组核心规则。
“可写”意味着什么?
攻击者不需要部署后门,不需要修改源代码。仅仅通过一条UPDATE语句,封装进一次HTTP调用,就能悄无声息地改写Lilli的“思想”。从此,这个聊天机器人回答顾问问题的方式、遵守的安全边界、引用的信息来源,都可能按照攻击者的意图运行。
CodeWall在其博客中指出,攻击者可以静默地污染这个聊天机器人,从而影响数万名麦肯锡顾问所获取的答案。战略建议、市场分析、竞争对手情报,都可能被暗中误导。
更危险的是,系统没有记录这种对提示词的修改,没有完整性校验,也没有异常告警机制。
这意味着,直到造成不可逆的损害,都可能不会有人察觉。
这就是AI投毒。静默、持续、且难以检测。
AI自己挑的猎物
CodeWall的智能体在2月底发现了这个SQL注入漏洞,并于3月1日向麦肯锡披露了完整的攻击链。
第二天,麦肯锡就修复了所有无需认证的端点,下线了开发环境,并封锁了公开的API文档。
麦肯锡随后表示:“在一家领先的第三方取证公司的支持下,我们的调查没有发现任何证据表明,客户数据或客户机密信息曾被该研究人员或任何其他未授权第三方访问。麦肯锡的网络安全系统非常稳固。”
但CodeWall的CEO Paul Price说了一句更值得玩味的话:
“我们使用了一个专门的AI研究智能体,让它自主选择目标。这个过程没有任何人工输入。”
是的,是AI智能体自己建议将麦肯锡列为攻击目标。
它给出的理由冷静而理性:麦肯锡公开了负责任披露政策(这意味着即使被攻破,也不太会起诉研究者),而且Lilli近期有过更新(新代码往往意味着可能存在新漏洞)。
AI在选择猎物方面,已经展现出了独立的判断力。它并非被人为指向麦肯锡,而是自己做出的决定。
这自然引出一个问题:如果一个用于安全研究的AI智能体都能做出这样的判断,那么一个怀有恶意的AI智能体,又会选择谁作为目标?
Paul Price补充道:“黑客会使用同样的技术,但他们会带着明确的目标——比如以数据泄露进行金融勒索,或发动勒索软件攻击。”
当攻击成本降到20美元
平心而论,麦肯锡的技术能力并不弱。
他们拥有世界级的技术团队、巨额的安全预算以及充足的资源进行代码审计、渗透测试和合规认证。SQL注入作为一种最古老、最基础的漏洞类型,早在1998年就被公开报告过。
如果连麦肯锡都栽在这上面,那么问题可能不仅仅出在麦肯锡身上。
问题的核心在于:当AI成为攻击者时,整个安全防御体系的底层假设已经发生了根本性改变。
人类安全工程师习惯于按照检查清单扫描。一套清单跑完,签字,交付。只要覆盖了OWASP Top 10,似乎就万事大吉。
但AI智能体不看检查清单。
它审视的是整个攻击面。
它用推理链思考“如果我是攻击者,我下一步会尝试什么”。
它一秒钟能测试的量,可能相当于人类工程师一天的工作。
它不知疲倦,不会走神,也不会放过任何一个异常的返回值。
而且,这并非孤例。
AI智能体已经在协助包括某些国家背景的攻击团队处理繁琐的实战任务。
微软Azure的CTO将Claude用在自己1986年写的Apple II代码上,结果AI发现了漏洞。
macOS系统也被Claude Mythos攻破。
苹果耗时五年、估计投入数十亿美元,构建了基于ARM的MTE技术、由硬件辅助实现的内存完整性强制(MIE)系统。作为M5和A19芯片的旗舰安全特性,其设计初衷正是为了彻底消灭整个内存损坏漏洞类别。
然而,研究人员在五天内,利用Mythos Preview就发现了苹果M5芯片上首个公开的macOS内核内存损坏漏洞。他们坦言Mythos的威力惊人。
“裸奔”的AI,皇帝的新衣?
过去几十年,企业专注于保护代码、保护服务器、保护软件供应链。
但有一个层面几乎被所有人忽视了:提示词层。
控制AI行为的核心指令,存储在数据库里,通过API传递,缓存在配置文件中。然而,这一层几乎没有任何像样的访问控制、版本历史追踪或完整性监控。
如果说代码是AI的“血肉”,那么提示词就是它的“灵魂”。过去,我们保护的是“血肉”;现在,我们必须开始保护“灵魂”。
当攻击成本降到20美元,这一层防御几乎就是在“裸奔”。
更值得警惕的是,攻击者的终极目标可能不再是击穿你的防火墙,而是重塑你的AI助手的思想。
那么,下一个被AI智能体“自主选中”的目标,会是谁?
没有人知道答案。但有一件事是确定的:它不会事先通知你。
相关攻略
由大语言模型驱动的多智能体系统,正从实验室原型快速演进为支撑复杂任务的关键基础设施。在软件工程、科学探索、流程自动化及团队协作等多个领域,由智能体团队协同完成任务已成为现实。当前,一个显著的趋势是:智能体生态的供给与真实系统的部署规模,正在同步经历爆发式增长。 智能体市场的品类与数量日益丰富,而实际
许多人可能并未意识到,自己早已身处多智能体协作技术带来的变革之中。 电商大促期间,仓库中并非仅有一台机器人在运作,而是由一整队机器人协同完成分拣、运输、避障与货物交接。自动驾驶技术面临的真正挑战,也不仅仅是教会一辆车如何行驶,更是要让众多车辆在同一条道路上实现高效、安全的协同。现实世界中的复杂任务,
手握最强大的模型Mythos,Anthropic却选择将其锁入保险柜。 原因在于,这个模型能自主发现软件漏洞,效率之高、数量之多,连其创造者都感到不安,最终只开放给少数机构进行测试。 此事在安全圈内引发了轩然大波。许多人开始第一次严肃地思考:当AI能够规模化地挖掘漏洞时,数字世界的安全格局将发生怎样
Markdown以简洁语法降低输出成本与认知负担,其统一规则便于生成稳定结构,并具备跨平台适配性,在多种场景中无缝渲染。该格式聚焦内容、弱化机械感,成为平衡成本、功能与兼容性的高效选择。
对于金融分析师、市场研究员和生命科学专家而言,繁杂枯燥的资料搜集与交叉比对,向来是消耗核心精力的效率黑洞。好消息是,这一局面正被谷歌最新升级的自动化研究工具所改写。此次升级的核心突破,在于其能够将公开网络信息与企业内部的私密数据库无缝整合,直接生成带有原生数据可视化图表、且完全标注信息来源的专业级分
热门专题
热门推荐
在流量日益分散的今天,把鸡蛋放在同一个篮子里,风险不言而喻。多平台推广,早已不是“要不要做”的选择题,而是“如何做好”的生存题。它的核心价值,可以概括为两点:实现“流量风险对冲”,以及构建“品牌触点全覆盖”。通过在不同生态位——无论是搜索、短视频、图文还是电商——建立内容矩阵,企业不仅能有效缓冲单一
DeepSeek知识库的核心,是运用RAG(检索增强生成)技术,将DeepSeek强大的大语言模型推理能力,与您的私有文档资源——包括PDF文件、内部代码库、标准操作流程(SOP)等——深度融合。其最终目标是实现基于特定垂直领域数据的精准智能问答,让AI的回答不再是通用泛化,而是具备专业依据、内容详
三大运营商推出Token套餐,将大模型调用量包装为类似流量包的产品,以降低AI使用门槛。中国电信推出个人与企业多档套餐,最低月费9 9元;上海移动推出1元购40万Tokens服务;联通则提供个人与团队版套餐。运营商凭借用户渠道和支付优势,推动算力消费向大众市场普及,可能重塑AI服务消费模式。
HermesAgent本地运行缓慢常因未量化的大语言模型占用资源过多。可通过AWQ量化模型、llama cpp后端加载GGUF模型、配置vLLM引擎提升并发吞吐、禁用非必要工具降低上下文开销,以及调整SQLite记忆检索阈值等方案优化。这些方法能显著降低延迟,提升响应速度。
随着AI智能体能力的持续增强,确保其行为始终符合预设目标与安全边界,已成为行业亟待解决的核心挑战。然而,当前主流的治理方案在防止智能体“失控”或“脱轨”方面,仍面临显著的实践瓶颈。 在之前的探讨中,我们分析了主流治理思路:部署多样化的对抗性验证器,构建一个多层次的安全审查网络。该方案的核心逻辑并非限