Трое из трех: ИИ-агент CodeWall вскрыл всю «Большую тройку» консалтинга

13 апреля стартап CodeWall опубликовал третий и новейший материал в серии про взлом «Крупный тройки» (MBB — McKinsey, Bain, BCG). Автономный ИИ-агент компании за 18 минут получил доступ к Pyxis — внутренней платформе конкурентной разведки Bain. После McKinsey и BCG все три самых престижных консалтинга планеты оказались уязвимы перед одним и тем же агентом.

Точка входа в Pyxis оказалась элементарной. Агент скачал JavaScript-бандл фронтенда и нашел внутри захардкоженные логин и пароль сервисного аккаунта — вероятно, добавленного в конфиг на этапе разработки и случайно попавшего в продакшн-сборку. Дальше — привычный для серии паттерн: через SQL-инъекцию в одном из api-эндпоинтов агент вышел на 11 баз данных с правами чтения и записи. Сервисный аккаунт не был ограничен ролями — "парадный вход был открыт, а ключи подходили ко всем комнатам", как формулирует сам CodeWall.

Внутри — 159 миллиардов строк транзакционных данных потребителей (если читать по одной записи в секунду, уйдет больше 5000 лет), ещё 2,5 миллиарда строк коммерческих данных со схемами возврата и перетоков клиентов между конкурентами, а также 9989 диалогов с ИИ-чатботом платформы. Среди них — запросы сотрудников клиентов Bain про своих же конкурентов: работник одной сети спрашивал у Pyxis, сколько клиентов перетекло от конкурента; работник другой — долю конкурента в категории. Платформа конкурентной разведки исправно отвечала всем сторонам. Отдельно агент вытащил 36 869 JWT-токенов со сроком жизни 365 дней и без многофакторной аутентификации, а равным образом системный промпт платформы на 18 621 символ — методологию, схемы SQL и аналитические фреймворки, читаемые из метаданных любой сессии.

Каждый из трех кейсов серии укладывается в один сценарий: публично доступная api-документация, где-то в ней — эндпоинт без аутентификации или уязвимый к SQL-инъекции, дальше полный доступ к базе. McKinsey (Lilli) — 2 часа и 46,5 млн сообщений. BCG (X Portal) — 372 задокументированных эндпоинта, один с сырым SQL без авторизации, 3,17 триллиона строк и 131 терабайт. Bain (Pyxis) — 18 минут. Все три компании оперативно закрыли найденные уязвимости после информации от Codewall.

Важен даже не SQL-инъекшн, популярный с 90-х, а скорость и автономность. Агент сам выбрал Bain следующей целью после McKinsey и BCG — на основании гипотезы, что "Большая тройка" строит похожие AI-платформы с похожими командами и похожими ошибками. CEO CodeWall Пол Прайс в интервью CIO ранее объявил, что его ИИ-агент работает лучше собственной red team компании с 15 годами опыта в пентестах. "Вопрос не в том, применимо ли это к вашей организации. Вопрос — проверяли ли вы", — формулирует CodeWall. Традиционный пентест раз в год с PDF-отчетом против агента, который сканирует поверхность непрерывно и учится на каждом взломе, выглядит несоразмерной защитой.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.