麦肯锡(McKinsey)已紧急修复其内部AI系统中的漏洞,此前黑客获得了这家咨询公司数百万条内部聊天消息的访问权限,并能够识别敏感文件。
*** 安全公司CodeWall本周表示,它曾入侵Lilli——麦肯锡4万名员工使用的AI平台——并在两小时内找到数百万个文件和通信记录。
CodeWall称,它获得了系统中4650万条聊天消息的访问权限。麦肯锡员工使用该系统来制定战略、分析数据,并为客户创建项目计划和演示文稿。
这起入侵事件凸显了快速采用AI所伴随的风险,潜在还可能令麦肯锡难堪,因为该咨询公司正向蓝筹股公司兜售有关如何利用AI技术的咨询服务。麦肯锡一直标榜其AI工具,以此证明其在采用这项技术方面置身于最前沿。
CodeWall力求发现企业系统中的 *** 安全漏洞,以便企业能够修复这些漏洞。该公司表示,它使用自己的AI *** 进行了此次入侵。“在2小时内,AI *** 获得了整个生产数据库的完全读写权限,”CodeWall在其网站上表示。
该公司还声称访问了一份包含72.8万个“敏感”文件名的列表,其中包括Excel电子表格、PowerPoint演示文稿和Word文档。一位接近麦肯锡的人士表示,这些文件本身存储在其他地方,“从未面临风险”。
CodeWall——其创始人保罗•普莱斯(Paul Price)自称是公司唯一员工——专注于像麦肯锡这样的公司,这些公司发布了说明道德黑客应该如何探测其系统以寻找 *** 安全漏洞的指引。
CodeWall表示,在本例中,AI *** 在发现安全问题后自动停止尝试访问文件,并报告了这些问题。
这家 *** 安全公司称,它获得了5.7万个用户账户、38.4万个AI助手以及9.4万个工作区的访问权限,称其展示了“(麦肯锡)如何在内部使用AI的完整组织结构”,以及“(麦肯锡)知识皇冠上的明珠”。
CodeWall表示,在入侵过程中,Lilli的系统提示词和AI模型配置也被完全暴露,“揭示了这一AI系统的具体行为指令(以及)存在什么安全防护措施”。
接近麦肯锡的一位人士称,该咨询公司的安全团队在2月底获悉了CodeWall的发现。此人补充道,麦肯锡在数小时内修复了发现的漏洞,并关闭了其开发环境(用于测试代码的在线区域)。
CodeWall称其AI *** 主动提议将麦肯锡作为目标。“AI时代,威胁格局正在发生巨大变化——AI *** 自主选择并攻击目标将变成新常态,”该公司表示。
麦肯锡表示,“一名安全研究人员最近向我们报告了与我们的内部AI工具Lilli相关的一个漏洞。我们迅速确认了这一漏洞,并在数小时内修复了问题。”
该公司补充道:“我们的调查在一家领先的第三方取证公司的支持下进行,没有发现任何证据表明客户数据或客户机密信息曾被该研究人员或其他任何未经授权的第三方访问。”
“麦肯锡的 *** 安全系统是强健的,对我们来说,没有比保护我们受托保管的客户数据和信息更高的优先事项。”
麦肯锡称,与AI及相关技术有关的咨询业务去年占其营收的40%,而其首席执行官今年表示,它已构建2.5万个AI *** ,以支持其4万名员工的工作。