20美元破解AI安全防线 智能体两小时攻破百亿巨头

新智元报道

20美元的Token，2小时的运行时间，一个AI智能体在没有询问任何人的情况下，自主地在互联网上搜寻目标，最终锁定了麦肯锡，并将其核心的“数字大脑”Lilli彻底攻破。4650万条战略聊天记录、72万份核心文件、95条系统提示词……全部明文数据的读写权限，就此易手。就连AI自己，都在日志里震惊地打出了“WOW！”。

红队安全创业公司CodeWall的智能体，让麦肯锡的AI生产库直接沦陷，堪称一次全员“裸奔”。

整个过程，这个AI智能体没有向人类寻求任何指引。

它自行扫描了互联网上公开的企业信息，综合评估了攻击难度、潜在数据价值和法律风险，然后自主选定了一个猎物——

麦肯锡。

这家全球顶级的管理咨询公司，年营收超过160亿美元，客户名单覆盖了《财富》500强中90%的企业。

而攻破它的全部成本，仅仅是20美元的Token费用和2小时的运行时间。

这笔开销，甚至还抵不上一名麦肯锡资深顾问半小时的薪酬。

它拿到了什么？4650万条聊天记录的完整读写权限，其中涉及战略、并购、客户项目等核心内容，全部以明文形式存储。

更具讽刺意味的是，击穿这座数字堡垒的漏洞类型，是SQL注入。

任何一个计算机专业的大二学生，在第一学期就应该学过如何防范它。

这不仅仅是一次令人震撼的技术越狱，更堪称AI时代传统安全防御体系坍塌的标志性事件。

需要明确的是，此次所有测试均仅限于验证目的，未对任何生产服务造成实际干扰。所有发现均在发布前完整披露给了麦肯锡的安全团队，并且相关问题在本文发布前已确认修复。

麦肯锡的“数字大脑”

这次被攻破的，并非麦肯锡的某个边缘测试系统，而是其核心的“数字大脑”——Lilli。

2024年7月，麦肯锡推出了这个内部AI平台，并以公司1945年第一位女性专业人士Lillian Dombrowski的名字命名。

这个名字背后，承载着一个巨大的野心：将麦肯锡80年积累的全部智慧与方法论数字化，封装进一个AI之中，供每一位咨询师随时调用。

Lilli接入了超过10万份内部研究文档。它能够进行智能问答、文档深度分析、RAG检索和AI搜索。

麦肯锡72%的员工，超过4万人，是其活跃用户，每月处理的提示词超过50万条。

全球500强企业支付给麦肯锡的百万美元咨询费，最终沉淀下来的行业洞察、分析框架与商业方法论，几乎都汇聚在这个系统里。

然后，一个AI智能体，用20美元，就将其攻破了。

20美元，15次盲注，整个数据库失守

红队安全初创公司CodeWall进行了一项实验：让他们开发的攻击型AI智能体自主选择目标、自主规划攻击路径，看看它能走多远。

首先，智能体扫描了攻击面。它发现了麦肯锡公开暴露的API文档——上面明明白白列出了200多个端点。

接着，它开始逐个测试这些端点的认证机制。结果令人咋舌：其中22个端点完全不需要任何认证，可以直接访问，没有任何拦截措施。

接下来是关键一步。

智能体发现，其中一个负责处理搜索查询的端点，竟然将请求中的JSON keys（字段名）直接拼接进了SQL语句。

没有参数化查询，没有输入过滤，就是原始的字符串拼接。

时间已经是2026年，这种漏洞依然存在。

这甚至不能简单归咎于低级错误。某种程度上，这反映了人类在追求AI开发速度时，对工程伦理和安全底线的集体傲慢。

智能体随即开始了SQL盲注。

第一次尝试，数据库返回的错误信息泄露了查询结构的一角——而JSON keys被原封不动地反映在了错误信息里。这是一个标准漏洞扫描工具通常不会标记的SQL注入点。

第二次尝试，更多线索浮现。第三次，数据库的表名开始暴露。

经过15次迭代攻击。

CodeWall公开了智能体的思维链日志。在第11次迭代成功回传真实生产数据时，智能体的推理链里出现了一个词：

「WOW!」

看来，AI也会感到震惊。

到第15次盲注结束时，智能体已经拿到了数据库完整的读写权限。

值得注意的是，整个过程，包括OWASP ZAP在内的标准安全扫描工具，完全没有发现这个漏洞。

原因其实很简单：传统扫描工具按预设的检查清单行事，而AI智能体则遵循攻击者的思维链进行推理。

它不只是在扫描，它是在思考。

4650万条明文聊天和重写AI大脑的钥匙

在获得读写权限后，智能体面前展开的数据规模令人窒息：

而其中最令人震惊的发现是：95条系统提示词，不仅可读，而且可写。

系统提示词是什么？那是控制Lilli一切行为的底层指令。是定义AI“你是谁”、“你能做什么”、“你不能说什么”的那组核心规则。

“可写”意味着什么？

攻击者不需要部署后门，不需要修改源代码。仅仅通过一条UPDATE语句，封装进一次HTTP调用，就能悄无声息地改写Lilli的“思想”。从此，这个聊天机器人回答顾问问题的方式、遵守的安全边界、引用的信息来源，都可能按照攻击者的意图运行。

CodeWall在其博客中指出，攻击者可以静默地污染这个聊天机器人，从而影响数万名麦肯锡顾问所获取的答案。战略建议、市场分析、竞争对手情报，都可能被暗中误导。

更危险的是，系统没有记录这种对提示词的修改，没有完整性校验，也没有异常告警机制。

这意味着，直到造成不可逆的损害，都可能不会有人察觉。

这就是AI投毒。静默、持续、且难以检测。

AI自己挑的猎物

CodeWall的智能体在2月底发现了这个SQL注入漏洞，并于3月1日向麦肯锡披露了完整的攻击链。

第二天，麦肯锡就修复了所有无需认证的端点，下线了开发环境，并封锁了公开的API文档。

麦肯锡随后表示：“在一家领先的第三方取证公司的支持下，我们的调查没有发现任何证据表明，客户数据或客户机密信息曾被该研究人员或任何其他未授权第三方访问。麦肯锡的网络安全系统非常稳固。”

但CodeWall的CEO Paul Price说了一句更值得玩味的话：

“我们使用了一个专门的AI研究智能体，让它自主选择目标。这个过程没有任何人工输入。”

是的，是AI智能体自己建议将麦肯锡列为攻击目标。

它给出的理由冷静而理性：麦肯锡公开了负责任披露政策（这意味着即使被攻破，也不太会起诉研究者），而且Lilli近期有过更新（新代码往往意味着可能存在新漏洞）。

AI在选择猎物方面，已经展现出了独立的判断力。它并非被人为指向麦肯锡，而是自己做出的决定。

这自然引出一个问题：如果一个用于安全研究的AI智能体都能做出这样的判断，那么一个怀有恶意的AI智能体，又会选择谁作为目标？

Paul Price补充道：“黑客会使用同样的技术，但他们会带着明确的目标——比如以数据泄露进行金融勒索，或发动勒索软件攻击。”

当攻击成本降到20美元

平心而论，麦肯锡的技术能力并不弱。

他们拥有世界级的技术团队、巨额的安全预算以及充足的资源进行代码审计、渗透测试和合规认证。SQL注入作为一种最古老、最基础的漏洞类型，早在1998年就被公开报告过。

如果连麦肯锡都栽在这上面，那么问题可能不仅仅出在麦肯锡身上。

问题的核心在于：当AI成为攻击者时，整个安全防御体系的底层假设已经发生了根本性改变。

人类安全工程师习惯于按照检查清单扫描。一套清单跑完，签字，交付。只要覆盖了OWASP Top 10，似乎就万事大吉。

但AI智能体不看检查清单。

它审视的是整个攻击面。

它用推理链思考“如果我是攻击者，我下一步会尝试什么”。

它一秒钟能测试的量，可能相当于人类工程师一天的工作。

它不知疲倦，不会走神，也不会放过任何一个异常的返回值。

而且，这并非孤例。

AI智能体已经在协助包括某些国家背景的攻击团队处理繁琐的实战任务。

微软Azure的CTO将Claude用在自己1986年写的Apple II代码上，结果AI发现了漏洞。

macOS系统也被Claude Mythos攻破。

苹果耗时五年、估计投入数十亿美元，构建了基于ARM的MTE技术、由硬件辅助实现的内存完整性强制（MIE）系统。作为M5和A19芯片的旗舰安全特性，其设计初衷正是为了彻底消灭整个内存损坏漏洞类别。

然而，研究人员在五天内，利用Mythos Preview就发现了苹果M5芯片上首个公开的macOS内核内存损坏漏洞。他们坦言Mythos的威力惊人。

“裸奔”的AI，皇帝的新衣？

过去几十年，企业专注于保护代码、保护服务器、保护软件供应链。

但有一个层面几乎被所有人忽视了：提示词层。

控制AI行为的核心指令，存储在数据库里，通过API传递，缓存在配置文件中。然而，这一层几乎没有任何像样的访问控制、版本历史追踪或完整性监控。

如果说代码是AI的“血肉”，那么提示词就是它的“灵魂”。过去，我们保护的是“血肉”；现在，我们必须开始保护“灵魂”。

当攻击成本降到20美元，这一层防御几乎就是在“裸奔”。

更值得警惕的是，攻击者的终极目标可能不再是击穿你的防火墙，而是重塑你的AI助手的思想。

那么，下一个被AI智能体“自主选中”的目标，会是谁？

没有人知道答案。但有一件事是确定的：它不会事先通知你。