46,5 млн повідомлень чату викрито? McKinsey: вже терміново усунув вразливість внутрішньої системи AI

Маккінсі (McKinsey) терміново виправила вразливості у своїй внутрішній системі штучного інтелекту після того, як хакери отримали доступ до мільйонів внутрішніх повідомлень компанії та змогли ідентифікувати конфіденційні файли.

Компанія з кібербезпеки CodeWall цього тижня повідомила, що вона проникла у Lilli — платформу штучного інтелекту, яку використовують 40 000 співробітників Маккінсі, — і за дві години знайшла мільйони файлів і записів переписок.

CodeWall заявила, що отримала доступ до 46,5 мільйонів повідомлень у системі. Співробітники Маккінсі використовують цю систему для розробки стратегій, аналізу даних і створення проектних планів та презентацій для клієнтів.

Ця інцидент підкреслює ризики швидкого впровадження штучного інтелекту, а також може поставити Маккінсі в незручне становище, оскільки компанія пропонує консультаційні послуги щодо використання AI для корпорацій із високою капіталізацією. Маккінсі постійно підкреслює свої інструменти AI, щоб продемонструвати свою передовість у цій галузі.

CodeWall прагне виявити вразливості у системах компаній, щоб допомогти їм їх усунути. Компанія заявила, що використовувала власного AI-агента для здійснення цього проникнення. “За дві години AI-агент отримав повний доступ до всьої виробничої бази даних,” — йдеться на сайті CodeWall.

Компанія також стверджує, що отримала доступ до списку з 728 000 “конфіденційних” назв файлів, серед яких Excel-таблиці, презентації PowerPoint і документи Word. Людина, близька до Маккінсі, повідомила, що ці файли зберігаються в інших місцях і “ніколи не були під загрозою”.

CodeWall — засновник якого, Пол Прайс, стверджує, що є єдиним співробітником компанії — зосереджена на компаніях, таких як Маккінсі, які видають рекомендації щодо того, як етичні хакери повинні досліджувати свої системи для пошуку вразливостей у кібербезпеці.

Зазначається, що у цьому випадку AI-агент автоматично припинив спроби доступу до файлів після виявлення проблем безпеки і повідомив про них.

Ця компанія з кібербезпеки заявила, що отримала доступ до 57 000 облікових записів користувачів, 384 000 AI-помічників і 94 000 робочих просторів, що демонструє “повну організаційну структуру використання AI у Маккінсі” та “перли у короні знань компанії”.

CodeWall повідомила, що під час проникнення системи Lilli та налаштування моделей AI були повністю відкриті, “розкриваючи конкретні інструкції щодо поведінки цієї системи AI та заходи безпеки”.

Людина, близька до Маккінсі, повідомила, що команда безпеки компанії дізналася про цю знахідку наприкінці лютого. Він додав, що Маккінсі за кілька годин виправила вразливості і закрила свою тестову середу (онлайн-майданчик для тестування коду).

CodeWall заявила, що її AI-агент самостійно запропонував зробити Маккінсі ціллю. “У епоху AI загрози змінюються кардинально — автономні AI-агенти, які обирають і атакують цілі, стануть новою нормою,” — зазначила компанія.

Маккінсі повідомила: “Недавно один з наших співробітників повідомив про вразливість у нашому внутрішньому інструменті AI Lilli. Ми швидко підтвердили цю вразливість і виправили її за кілька годин.”

Компанія додала: “Наше розслідування проводилося за підтримки провідної сторонньої компанії з цифрової експертизи, і не було знайдено жодних доказів того, що дані клієнтів або конфіденційна інформація були доступні цим дослідникам або будь-яким іншим неавторизованим сторонам.”

“Кібербезпека Маккінсі є міцною, і для нас немає більшого пріоритету, ніж захист даних і інформації наших клієнтів, якими ми керуємо.”

Маккінсі заявила, що у минулому році консультаційний бізнес, пов’язаний з AI та відповідними технологіями, складав 40% її доходу, а її генеральний директор цього року повідомив, що компанія створила 25 000 AI-агентів для підтримки роботи 40 000 співробітників.