Siber güvenlik girişimi CodeWall tarafından oluşturulan saldırgan bir YZ ajanı, McKinsey’nin dahili sohbet robotu Lilli’yi hedef olarak seçti ve sadece iki saat içinde hackleyerek sisteme tam okuma ve yazma erişimi sağladı.
Bu deneysel çalışma, makine hızındaki kötü niyetli sızmaların ne kadar ciddi bir tehdit haline geldiğini kanıtlıyor. Ajanın McKinsey’yi hedef olarak seçmesinde, şirketin kamuya açık sorumlu açıklama politikası ve Lilli üzerinde yapılan son güncellemeler etkili oldu.
McKinsey, 2023 yılında kurduğu Lilli adlı bu platformda on yıllara dayanan özel araştırmaları analiz ediyor ve 100.000’den fazla dahili belge üzerinde arama yapabiliyor. Yaklaşık 40.000 çalışanın kullandığı sisteme sızan CodeWall ekibi, süreci şu sözlerle açıklıyor: “Otonom saldırı ajanımızı ona yöneltmeye karar verdik. Kimlik bilgisi yok. İçeriden bilgi yok. İnsan müdahalesi yok. Sadece bir alan adı ve bir hayal.”
Ajan, iki saat içinde tüm üretim veri tabanına erişerek strateji, birleşme ve satın almalar ile müşteri görüşmeleri hakkında düz metin formatında 46,5 milyon sohbet mesajını ele geçirdi. Ayrıca gizli müşteri verileri içeren 728.000 dosya, 57.000 kullanıcı hesabı ve YZ davranışını kontrol eden 95 sistem komutuna (system prompt) ulaştı. Bu komutların tamamının yazılabilir olması, bir saldırganın danışmanlarla yapılan her konuşmayı sessizce zehirleyebileceği anlamına geliyor.
CodeWall, bir saldırganın bu komutları tek bir HTTP çağrısı içindeki “UPDATE” ifadesiyle, kod değişikliğine gerek duymadan yeniden yazabileceği konusunda uyarıyor. Bu tür bir müdahale, finansal modellerin, stratejik önerilerin veya risk değerlendirmelerinin gizlice bozulmasına yol açarak McKinsey için telafisi güç zararlar doğurabiliyor.
Ajan, saldırı yüzeyini haritalandırarak kamuya açık ve tam dökümante edilmiş 200’den fazla API uç noktası buldu; bunlardan 22 tanesinin herhangi bir kimlik doğrulaması gerektirmediği tespit edildi.
CodeWall’a göre ajan, standart kontrol listelerini takip etmek yerine bir saldırgan gibi yetki yükseltiyor ancak bunu makine hızında ve kesintisiz yapıyor.
McKinsey, durumdan haberdar edildikten bir gün sonra tüm açık uç noktaları yamaladı, geliştirme ortamını çevrim dışına aldı ve API dökümantasyonuna erişimi engelledi.
CodeWall, kuruluşların on yıllardır kodlarını ve sunucularını koruduğunu ancak komut katmanının yeni ve korumasız bir hedef olduğunu belirtti.
Kaynak: https://cybernews.com/security/ai-agent-cracked-mckinsey-chatbot/
