13 апреля стартап CodeWall опубликовал третий и последний материал в серии про взлом «Большой тройки» (MBB — McKinsey, Bain, BCG). Автономный ИИ-агент компании за 18 минут получил доступ к Pyxis — внутренней платформе конкурентной разведки Bain. После McKinsey и BCG все три самых престижных консалтинга планеты оказались уязвимы перед одним и тем же агентом.
Точка входа в Pyxis оказалась элементарной. Агент скачал JavaScript-бандл фронтенда и нашел внутри захардкоженные логин и пароль сервисного аккаунта — вероятно, добавленного в конфиг на этапе разработки и случайно попавшего в продакшн-сборку. Дальше — привычный для серии паттерн: через SQL-инъекцию в одном из API-эндпоинтов агент вышел на 11 баз данных с правами чтения и записи. Сервисный аккаунт не был ограничен ролями — «парадный вход был открыт, а ключи подходили ко всем комнатам», как формулирует сам CodeWall.
Внутри — 159 миллиардов строк транзакционных данных потребителей (если читать по одной записи в секунду, уйдет больше 5000 лет), ещё 2,5 миллиарда строк коммерческих данных со схемами возврата и перетоков клиентов между конкурентами, а также 9989 диалогов с ИИ-чатботом платформы. Среди них — запросы сотрудников клиентов Bain про своих же конкурентов: работник одной сети спрашивал у Pyxis, сколько клиентов перетекло от конкурента; работник другой — долю конкурента в категории. Платформа конкурентной разведки исправно отвечала всем сторонам. Отдельно агент вытащил 36 869 JWT-токенов со сроком жизни 365 дней и без многофакторной аутентификации, а также системный промпт платформы на 18 621 символ — методологию, схемы SQL и аналитические фреймворки, читаемые из метаданных любой сессии.
Каждый из трех кейсов серии укладывается в один сценарий: публично доступная API-документация, где-то в ней — эндпоинт без аутентификации или уязвимый к SQL-инъекции, дальше полный доступ к базе. McKinsey (Lilli) — 2 часа и 46,5 млн сообщений. BCG (X Portal) — 372 задокументированных эндпоинта, один с сырым SQL без авторизации, 3,17 триллиона строк и 131 терабайт. Bain (Pyxis) — 18 минут. Все три компании оперативно закрыли найденные уязвимости после информации от Codewall.
Важен даже не SQL-инъекшн, известный с 90-х, а скорость и автономность. Агент сам выбрал Bain следующей целью после McKinsey и BCG — на основании гипотезы, что «Большая тройка» строит похожие AI-платформы с похожими командами и похожими ошибками. CEO CodeWall Пол Прайс в интервью CIO ранее заявил, что его ИИ-агент работает лучше собственной red team компании с 15 годами опыта в пентестах. «Вопрос не в том, применимо ли это к вашей организации. Вопрос — проверяли ли вы», — формулирует CodeWall. Традиционный пентест раз в год с PDF-отчетом против агента, который сканирует поверхность непрерывно и учится на каждом взломе, выглядит несоразмерной защитой.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1023158/