Старий чат-бот McKinsey зі штучним інтелектом отримав потенційний доступ до тисяч файлів
На тлі поспіху із впровадженням цифрових технологій протягом останнього десятиліття компанії регулярно отримували попередження щодо поспішного випуску продуктів, які мають слабкі місця і якими можуть скористатися кіберзлочинці. Показуючи, що епоха штучного інтелекту дещо відрізняється, McKinsey & Company, як повідомляється, стикнулася зі зломом власного внутрішнього чат-бота, випущеного три роки тому, що потенційно могло б розкрити мільйони приватних розмов компанії. Про це пише Consultancy.uk.
Як повідомляє The Stack, внутрішній чат-бот стратегічного бізнес-гіганта Lilli, якого компанія вперше випустила у 2023 році, розкрив хакерам понад 728 000 особистих файлів та понад 46 мільйонів журналів чатів, а також власну документацію RAG. За словами Пола Прайса, колишнього консультанта з кібербезпеки Schillings, чий стартап Codewall викрив інцидент, вразливість була пов'язана із 22 викритими кінцевими точками, які не потребували автентифікації, одна з яких виявилася вразливістю SQL-ін'єкцією.
Агенту з ШІ-безпеки компанії знадобилося лише дві години та 20 доларів у токенах, щоб зламати систему міжнародної консалтингової компанії та отримати доступ до конфіденційних даних. Шиллінгс розповів виданню The Stack, що більшість великих організацій погано підготовлені до вдосконалень у сфері ШІ-агентів у сфері наступальної безпеки, і що сам ШІ обрав McKinsey як ціль після того, як він запропонував модель для визначення низки відомих організацій з публічними інструкціями щодо розкриття інформації про кібербезпеку та кількома іншими параметрами, на яких слід зосередитися.
Робимо висновки.
За матеріалами Consultancy.uk
Ілюстрація: Consultancy.uk