最近一家安全公司放出一个攻击型 AI Agent结果这个 AI 在 两小时内攻破了麦肯锡的内部 AI 系统。更讽刺的是——攻击用的技术居然是 三十年前的经典漏洞SQL 注入。这件事听起来像个段子但它是真的。而且规模非常惊人。一、两小时攻破麦肯锡 AI事情发生在麦肯锡的内部 AI 平台 Lilli 上。这是麦肯锡为咨询顾问开发的内部 AI 助手用于战略分析客户研究文档分析项目材料整理这个系统在 2023 年上线现在 超过 4 万名员工在使用每个月处理 超过 50 万次 AI 提问。安全公司 CodeWall 做了一次红队测试。他们放出一个攻击型 AI agent让它在互联网上自动寻找目标并尝试入侵。这个 AI 自己选中了麦肯锡。接下来发生的事情非常夸张两个小时后系统被攻破。AI 成功拿到了4650 万条内部聊天记录72.8 万个文件5.7 万个用户账号甚至包括 控制 AI 行为的系统提示词。更可怕的是——攻击者不仅能读取这些数据还拥有写入权限。也就是说如果这是黑客而不是安全公司他们甚至可以 悄悄修改 AI 的回答逻辑。比如让 AI 推荐某家公司让 AI 修改研究结论或者在咨询报告里植入偏见而所有顾问可能都不会察觉。二、漏洞互联网史上最经典的攻击这次攻击最讽刺的一点是技术一点也不高级。漏洞是一个非常经典的问题SQL 注入。简单说就是程序把用户输入直接拼接进数据库查询语句。攻击者只要构造特殊字符就可以让数据库执行额外指令。这个漏洞在 1990年代就已经被广泛讨论。甚至很多安全扫描器都会自动检测。但在这次事件里AI agent 还是找到了突破口。原因在于系统的 JSON 字段名被直接插入 SQL 查询。这种写法绕过了常规安全扫描工具。AI agent 通过 十几轮“盲注试探”逐渐从错误信息中提取数据库结构最终成功把生产数据读了出来。整个过程不需要账号不需要内部权限也不需要人工操作完全是 AI 自动完成的攻击链。三、真正的危险AI 正在自动化黑客很多人看到这件事会误解“AI 这么厉害连麦肯锡都能黑”其实真正的问题不是 AI 更聪明了。而是黑客技术正在被 AI 自动化。传统攻击需要1 找漏洞2 写脚本3 反复试探4 手动利用而 AI agent 可以自动扫描接口自动分析报错自动构造 payload自动组合攻击链整个过程机器速度完成。有安全专家已经指出AI agent 可能会让 80%-90% 的网络攻击自动化。这意味着未来可能出现一种情况黑客甚至不需要懂技术。他们只要说一句“帮我找一家公司的漏洞。”AI 就会自动完成。四、AI系统的“新攻击面”这次事件还有一个更深层的问题。AI 系统正在创造新的攻击面。过去的软件系统结构是用户↓应用↓数据库而 AI 系统变成了用户↓AI模型↓工具调用↓数据库 / API / 文件系统AI agent 本质上是一个拥有大量权限的软件代理。它可以读数据库调 API执行代码操作文件如果这些权限管理不好AI 就会成为 超级入口。一旦突破攻击者可能拿到整个系统。五、最讽刺的一点麦肯锡并不是一家普通公司。它是全球最顶级的管理咨询机构之一客户包括世界500强各国政府金融机构而这次漏洞的技术难度几乎是 Web 安全的入门级案例。这也说明一个现实AI 落地的速度远远快于安全体系。很多公司都在急着部署 AIAI 助手AI 客服AI 自动化AI Agent但安全架构还停留在传统时代。六、一个更大的时代信号如果把这件事放在更大的背景里看它其实是一个信号AI 正在成为新的攻防战场。未来的网络安全可能会变成AI 攻击 AI攻击方自动化攻击 agent防守方自动化防御 agent整个网络空间可能会变成机器之间的战争。而人类只是规则制定者。七、结语麦肯锡这次事件有点荒诞。一家给世界顶级企业做战略咨询的公司被一个 AI 用三十年前的漏洞攻破。我们不得不思考一个问题当 AI 可以自己寻找漏洞、自己发动攻击的时候互联网安全体系会不会被彻底重写
当AI干起黑客的活:两小时攻破麦肯锡
发布时间:2026/6/27 2:28:33
最近一家安全公司放出一个攻击型 AI Agent结果这个 AI 在 两小时内攻破了麦肯锡的内部 AI 系统。更讽刺的是——攻击用的技术居然是 三十年前的经典漏洞SQL 注入。这件事听起来像个段子但它是真的。而且规模非常惊人。一、两小时攻破麦肯锡 AI事情发生在麦肯锡的内部 AI 平台 Lilli 上。这是麦肯锡为咨询顾问开发的内部 AI 助手用于战略分析客户研究文档分析项目材料整理这个系统在 2023 年上线现在 超过 4 万名员工在使用每个月处理 超过 50 万次 AI 提问。安全公司 CodeWall 做了一次红队测试。他们放出一个攻击型 AI agent让它在互联网上自动寻找目标并尝试入侵。这个 AI 自己选中了麦肯锡。接下来发生的事情非常夸张两个小时后系统被攻破。AI 成功拿到了4650 万条内部聊天记录72.8 万个文件5.7 万个用户账号甚至包括 控制 AI 行为的系统提示词。更可怕的是——攻击者不仅能读取这些数据还拥有写入权限。也就是说如果这是黑客而不是安全公司他们甚至可以 悄悄修改 AI 的回答逻辑。比如让 AI 推荐某家公司让 AI 修改研究结论或者在咨询报告里植入偏见而所有顾问可能都不会察觉。二、漏洞互联网史上最经典的攻击这次攻击最讽刺的一点是技术一点也不高级。漏洞是一个非常经典的问题SQL 注入。简单说就是程序把用户输入直接拼接进数据库查询语句。攻击者只要构造特殊字符就可以让数据库执行额外指令。这个漏洞在 1990年代就已经被广泛讨论。甚至很多安全扫描器都会自动检测。但在这次事件里AI agent 还是找到了突破口。原因在于系统的 JSON 字段名被直接插入 SQL 查询。这种写法绕过了常规安全扫描工具。AI agent 通过 十几轮“盲注试探”逐渐从错误信息中提取数据库结构最终成功把生产数据读了出来。整个过程不需要账号不需要内部权限也不需要人工操作完全是 AI 自动完成的攻击链。三、真正的危险AI 正在自动化黑客很多人看到这件事会误解“AI 这么厉害连麦肯锡都能黑”其实真正的问题不是 AI 更聪明了。而是黑客技术正在被 AI 自动化。传统攻击需要1 找漏洞2 写脚本3 反复试探4 手动利用而 AI agent 可以自动扫描接口自动分析报错自动构造 payload自动组合攻击链整个过程机器速度完成。有安全专家已经指出AI agent 可能会让 80%-90% 的网络攻击自动化。这意味着未来可能出现一种情况黑客甚至不需要懂技术。他们只要说一句“帮我找一家公司的漏洞。”AI 就会自动完成。四、AI系统的“新攻击面”这次事件还有一个更深层的问题。AI 系统正在创造新的攻击面。过去的软件系统结构是用户↓应用↓数据库而 AI 系统变成了用户↓AI模型↓工具调用↓数据库 / API / 文件系统AI agent 本质上是一个拥有大量权限的软件代理。它可以读数据库调 API执行代码操作文件如果这些权限管理不好AI 就会成为 超级入口。一旦突破攻击者可能拿到整个系统。五、最讽刺的一点麦肯锡并不是一家普通公司。它是全球最顶级的管理咨询机构之一客户包括世界500强各国政府金融机构而这次漏洞的技术难度几乎是 Web 安全的入门级案例。这也说明一个现实AI 落地的速度远远快于安全体系。很多公司都在急着部署 AIAI 助手AI 客服AI 自动化AI Agent但安全架构还停留在传统时代。六、一个更大的时代信号如果把这件事放在更大的背景里看它其实是一个信号AI 正在成为新的攻防战场。未来的网络安全可能会变成AI 攻击 AI攻击方自动化攻击 agent防守方自动化防御 agent整个网络空间可能会变成机器之间的战争。而人类只是规则制定者。七、结语麦肯锡这次事件有点荒诞。一家给世界顶级企业做战略咨询的公司被一个 AI 用三十年前的漏洞攻破。我们不得不思考一个问题当 AI 可以自己寻找漏洞、自己发动攻击的时候互联网安全体系会不会被彻底重写
