اختراق وكالة McKinsey: عميل ذكاء اصطناعي يخترق شات بوت Lilli
كشف تقرير من شركة الأمن السيبراني CodeWall عن تمكن وكيل ذكاء اصطناعي من اختراق نظام McKinsey الداخلي “Lilli” في أقل من ساعتين، والحصول على وصول كامل للقراءة والكتابة على قاعدة بيانات تحتوي على رسائل محادثة حساسة، ملفات عملاء، وحسابات المستخدمين — كلها بصيغة نصية واضحة.
تفاصيل الحادثة
تعرض نظام Lilli، المستخدم في المحادثة والتحليل والبحث عبر أكثر من 100 ألف مستند داخلي، لثغرة أمان مهمة:
- النطاق والاستخدام: يستخدم 70% من موظفي McKinsey، أي حوالي 45 ألف شخص، Lilli لأعمال العملاء والمشاريع الداخلية.
- نقاط ضعف النظام: اكتشف وكيل CodeWall وثائق API مكشوفة تضم 22 نقطة نهاية بدون مصادقة، منها نقطة ضعف أساسية سمحت بالوصول إلى قاعدة البيانات.
- المعلومات المكشوفة: تضمنت 46.5 مليون رسالة تتعلق بالاستراتيجيات، صفقات الاندماج والاستحواذ، وملفات العملاء، إضافة إلى 728 ألف ملف، 57 ألف حساب مستخدم، و95 أمر تحكم داخلي.
- استجابة McKinsey: تم إخطار الشركة بالثغرة، وتم التعاون مع طرف ثالث لتحليل الوضع، ولم يُسجل أي وصول آخر قبل الإصلاح، ثم تمت معالجة الثغرة الأمنية.
أهمية الحادثة
تُظهر الحادثة أن حتى الشركات الكبرى مثل McKinsey يمكن أن تغفل عن أساسيات الأمن:
- الحاجة لمراجعة صارمة للأنظمة الداخلية قبل نشر أي حلول ذكاء اصطناعي.
- التأكد من حماية نقاط النهاية وبيانات العملاء الحساسة.
- تعزيز الوعي بالمخاطر عند دمج وكلاء الذكاء الاصطناعي في عمليات الأعمال الحرجة.
الاختراق يسلط الضوء على أهمية الأمن السيبراني في عصر الذكاء الاصطناعي، ويؤكد على أن الشركات مهما كانت رائدة، يجب أن تعطي الأولوية لحماية بياناتها عند تبني أدوات الذكاء الاصطناعي داخليًا.
