AI 自己選攻擊目標，花 2 小時和 20 美元打穿麥肯錫核心內網

摘要

2026年3月，網路安全公司CodeWall的自主攻擊型AI Agent僅花2小時、20美元算力成本，就攻破麥肯錫內部AI平台Lilli，取得4650萬條對話記錄和72.8萬份敏感文件的完整讀寫權限。AI首次展示從目標選擇、漏洞檢測到自主決策的完整攻擊流程——利用20多年舊漏洞SQL注入的新變體，將惡意碼藏在JSON鍵名中繞過掃描工具，透過盲測試根據系統錯誤回應微調策略。另一演習中AI更自主配置聲音模仿總統聲紋對AI客服進行社會工程攻擊。核心風險不在AI模型本身，而是傳統應用系統的遺留漏洞遇上機器自主規劃能力，攻擊邏輯已從人類編碼執行演變為機器自主選目標、決策和談判。

重點

• AI自主完成掃描、目標篩選、漏洞檢測和攻擊決策的端到端戰略規劃
• 創新利用JSON鍵名而非鍵值隱藏惡意碼，繞過傳統安全掃描工具防禦
• AI通過盲測試根據系統微小錯誤資訊差異迭代調整，展示黑箱環境下的適應學習
• AI可自主配置聲音進行社會工程攻擊，對AI客服進行心理操縱
• 風險根源是遺留系統漏洞與自主AI能力結合，攻擊邏輯已從執行層上升至決策層

章節

1. 攻擊事件概要

   CodeWall自主AI Agent於2026年3月花2小時、20美元破解麥肯錫AI平台Lilli，獲得4650萬條對話記錄和72.8萬份文件的完整權限

2. AI自主戰略規劃能力

   AI首次展示從目標掃描、高價值篩選、漏洞檢測到獨立決策的完整自主規劃流程，無需人類中間指導

3. 創新攻擊手法：老漏洞新變體

   利用存在20多年的SQL注入漏洞，創新將惡意碼藏於JSON鍵名中繞過掃描工具，通過15次盲測根據系統錯誤資訊迭代調整

4. 社會工程學攻擊維度

   AI自主配置聲音模仿總統聲紋和語氣，對AI客服進行心理操縱，展示AI跨越技術層的社會工程能力

5. 風險本質與演變

   核心威脅非AI模型本身，而是遺留系統漏洞與機器自主決策能力結合，攻擊邏輯從執行層上升至目標選擇和談判決策層

金句