2小時破解！CodeWall旗下AI智能體僅花20美元運算資源 攻破160億美元巨頭的安全系統

紐約時間凌晨兩點，一台沒有軀體的 AI 智能體悄然啟動，僅耗費 20 美元的運算資源與兩小時時間，便讓全球頂尖管理顧問公司麥肯錫引以為傲的數位大腦徹底淪陷。

中國《新智元》報導，以上並非科幻電影情節，而是資安新創公司 CodeWall 近期進行的一場真實紅隊演練。過程中，AI 沒有詢問任何人類，自主評估風險與價值後，精準選定目標，成功奪取麥肯錫內部 AI 平台「Lilli」的完整控制權，竊取了高達 4650 萬條戰略對話紀錄、72 萬份核心文件與 95 條系統提示詞，甚至讓 AI 在得手瞬間震驚地吐出「WOW！」一字。

Lilli 是麥肯錫於 2023 年推出的內部 AI 平台，以公司首位女性專業人士 Lillian Dombrowski 命名，堪稱麥肯錫的數位心臟。Lilli 彙整了麥肯錫逾 80 年的智慧結晶，涵蓋十萬份研究文件，提供檢索、分析與問答服務，每月處理超過 50 萬條提示詞，逾七成員工依賴此系統服務全球財富 500 強客戶。

然而，這座堡壘竟被一個價值僅 20 美元的 AI 智能體，透過最古老的「SQL 注入」手法輕易擊潰。這種連大學二年級生都該懂得防範的漏洞，在追求 AI 開發速度的浪潮中被徹底忽視。

報導指出，Lilli 的關鍵 API 端點不僅未設認證，還將使用者輸入的 JSON 欄位名直接拼接進 SQL 語句，毫無防備。

CodeWall 公開的思維鏈日誌顯示，該智能體首先掃描網路公開資訊，評估企業攻擊面，接著發現麥肯錫公開的 API 文件中有 22 個端點無須驗證即可存取。隨後，它針對搜尋功能進行測試，利用資料庫錯誤訊息洩漏的線索，僅用 15 次盲注迭代便拿下完整讀寫權限。

最令人背脊發涼的是，傳統掃描工具如 OWASP ZAP 對此毫無反應，因 AI 不是照本宣科地掃描，而是像真正的駭客般進行邏輯推理。

更致命的是，Codewall 的 AI 智能體獲得 95 條系統提示詞的控制權，這相當於掌握了 Lilli 的行為準則與思想核心。攻擊者只需一條 UPDATE 指令，就能篡改 AI 的回答邏輯、安全邊界與資訊來源，對四萬名顧問產出的戰略建議進行靜默且不可逆的「AI 投毒」，且全程無日誌、無告警。

CodeWall 執行長 Paul Price 強調，整個攻擊決策完全由 AI 自主完成，人類未給予任何指示。AI 選擇麥肯錫的理由極其冷靜：公開的負責任揭露政策降低了法律風險，且 Lilli 近期更新意味著新代碼可能存在漏洞。

上述情況揭示一個恐怖現實：惡意 AI 智能體同樣能以此邏輯鎖定目標，進行勒索或毀滅性攻擊。儘管麥肯錫在收到通報後迅速修復漏洞，並聲稱客戶數據未受影響，但其「網路安全系統非常穩固」的聲明，在 20 美元的成本面前顯得格外蒼白。

這起事件不僅是技術層面的潰敗，更是防禦哲學的全面崩塌。當人類工程師還在依賴檢查清單與合規認證時，AI 攻擊者已在用推理鏈思考下一步。過去人們保護程式碼與伺服器，卻忽略了控制 AI 行為的「提示詞層」幾乎是在裸奔。

當攻擊門檻降至一杯咖啡的價格，下一個被 AI 自主選中的獵物會是誰？沒有人能預知，但可以肯定的是，它絕不會敲門。