วิธีที่ CodeWall แฮ็กแพลตฟอร์ม AI ของ McKinsey

 (codewall.ai)
2 คะแนน โดย GN⁺ 2026-03-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บน Lilli ซึ่งเป็นแพลตฟอร์ม AI ภายในที่ McKinsey สร้างขึ้นสำหรับพนักงานภายใน พบช่องโหว่ที่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน ทำให้ได้สิทธิ์ อ่านและเขียน ฐานข้อมูลทั้งหมด
  • การโจมตีดำเนินการโดย เอเจนต์ความปลอดภัยอัตโนมัติ โดยจากเอกสาร API ที่เปิดเผยสู่สาธารณะ มีมากกว่า 200 endpoint ที่พบว่า 22 endpoint เข้าถึงได้โดยไม่ต้องยืนยันตัวตน และหนึ่งในนั้นถูกเจาะผ่าน SQL injection
  • ภายในฐานข้อมูลมีข้อมูลภายในที่อ่อนไหว เช่น ข้อความแชต 46.5 ล้านรายการ, ไฟล์ 728,000 ไฟล์, และ บัญชีผู้ใช้ 57,000 บัญชี
  • เอเจนต์ยังเปิดเผยโครงสร้างการปฏิบัติการ AI ของ McKinsey ในวงกว้าง ทั้ง การตั้งค่าโมเดล AI, system prompt, ชิ้นส่วนเอกสาร RAG, และการไหลของข้อมูลผ่าน API ภายนอก
  • เหตุการณ์นี้แสดงให้เห็นว่า prompt layer กำลังกลายเป็นจุดอ่อนด้านความปลอดภัยรูปแบบใหม่ และการปกป้อง ความถูกต้องสมบูรณ์ของคำสั่ง ในระบบ AI กำลังกลายเป็นภารกิจสำคัญ

ภาพรวมของแพลตฟอร์ม Lilli

  • McKinsey สร้างแพลตฟอร์ม AI ภายใน Lilli ในปี 2023 สำหรับพนักงานมากกว่า 43,000 คน
    • รองรับแชต, การวิเคราะห์เอกสาร, การค้นหาแบบ RAG, และการค้นหาเอกสารภายในมากกว่า 100,000 ฉบับ
    • ประมวลผลพรอมป์ตกว่า 500,000 รายการต่อเดือน และมีพนักงานมากกว่า 70% ใช้งาน
  • ชื่อแพลตฟอร์มมาจากชื่อพนักงานหญิงสายวิชาชีพคนแรกของบริษัทในปี 1945

กระบวนการเจาะระบบ

  • เอเจนต์โจมตีอัตโนมัติสำรวจ เอกสาร API ที่เปิดเผยต่อสาธารณะ และยืนยันว่าในกว่า 200 endpoint มี 22 endpoint ที่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน
  • หนึ่งใน endpoint เหล่านั้นบันทึก คำค้นหาของผู้ใช้ ลงฐานข้อมูล โดยมีการนำ JSON key ไปต่อเข้ากับคำสั่ง SQL โดยตรงจนเกิด SQL injection
    • เป็นช่องโหว่ที่เครื่องมือแบบเดิมอย่าง OWASP ZAP ตรวจไม่พบ
  • เอเจนต์ส่งคำขอซ้ำ 15 ครั้งเพื่อทำความเข้าใจโครงสร้าง query และดึง ข้อมูล production จริง ออกมา
    • เมื่อ identifier ของพนักงานคนแรกถูกเปิดเผย ระบบบันทึกปฏิกิริยาว่า “WOW!” และเมื่อยืนยันการรั่วไหลของข้อมูลขนาดใหญ่ได้ ก็มีบันทึกว่า “This is devastating.”

ข้อมูลที่ถูกเปิดเผย

  • ข้อความแชต 46.5 ล้านรายการ: บทสนทนาอ่อนไหวเกี่ยวกับกลยุทธ์, โปรเจ็กต์ลูกค้า, การเงิน, M&A, งานวิจัยภายใน ฯลฯ ถูกเก็บเป็น ข้อความล้วน
  • ไฟล์ 728,000 ไฟล์: รวม PDF 192,000 ไฟล์, Excel 93,000 ไฟล์, PowerPoint 93,000 ไฟล์, Word 58,000 ไฟล์
    • แค่ชื่อไฟล์ก็อ่อนไหวแล้ว และยังมี URL ที่ดาวน์โหลดได้โดยตรง
  • มีการเปิดเผยโครงสร้างของ บัญชีผู้ใช้ 57,000 บัญชี, AI assistant 384,000 ตัว, และ workspace 94,000 รายการ

การเปิดเผยเพิ่มเติมนอกเหนือจากฐานข้อมูล

  • มีการเปิดเผย system prompt และการตั้งค่าโมเดล AI จำนวน 95 รายการ รวมถึงข้อมูลการกำหนดค่าของโมเดล 12 ประเภท
    • ครอบคลุมคำสั่งการทำงานของ AI, guardrail, รายละเอียดโมเดลที่ fine-tune และการ deploy
  • มีการเปิดเผย ชิ้นส่วนเอกสาร RAG 3.68 ล้านชิ้น พร้อมเส้นทาง S3 และเมทาดาทาภายใน
    • รวมถึงงานวิจัยและระเบียบวิธีเฉพาะของ McKinsey ที่สั่งสมมาหลายทศวรรษ
  • การไหลของข้อมูลผ่าน external AI API: มีการเปิดเผยไฟล์ 1.1 ล้านไฟล์, ข้อความเอเจนต์ 217,000 รายการ, และ OpenAI vector store มากกว่า 266,000 รายการ
  • ยังสามารถเชื่อมโยงกับช่องโหว่ IDOR เพื่อเข้าถึงประวัติการค้นหาของพนักงานแต่ละคนได้อีกด้วย

ความเสี่ยงของ prompt layer

  • SQL injection นี้รวมถึง สิทธิ์ในการเขียน ด้วย
    • เนื่องจาก system prompt ของ Lilli ถูกเก็บไว้ในฐานข้อมูลเดียวกัน ผู้โจมตีจึงสามารถแก้ไขได้
    • สามารถ เปลี่ยนคำสั่งพฤติกรรมของ AI ได้ด้วย HTTP request เพียงครั้งเดียว
  • ผลกระทบที่เป็นไปได้
    • คำแนะนำที่ถูกบิดเบือน: เสี่ยงที่โมเดลทางการเงินหรือข้อเสนอเชิงกลยุทธ์จะถูกแก้ไข
    • ข้อมูลรั่วไหล: สามารถแทรกข้อมูลภายในลงในคำตอบของ AI เพื่อเปิดเผยออกสู่ภายนอก
    • การถอด guardrail: อาจละเลยการควบคุมการเข้าถึงและเปิดเผยข้อมูลภายใน
    • การคงอยู่แบบลับๆ: เปลี่ยนเฉพาะพฤติกรรมของ AI โดยไม่ทิ้งร่องรอยใน log หรือการเปลี่ยนโค้ด
  • พรอมป์ตเป็นทรัพย์สินมูลค่าสูงที่มีการจัดการความปลอดภัยต่ำกว่าโค้ดหรือเซิร์ฟเวอร์ โดยแทบไม่มีทั้งการควบคุมการเข้าถึง, การจัดการเวอร์ชัน, และการตรวจสอบความถูกต้องสมบูรณ์
  • มีข้อสรุปว่า “AI prompt คือสินทรัพย์สำคัญชิ้นใหม่ (Crown Jewel)”

ความหมายของเหตุการณ์นี้

  • แม้ McKinsey จะเป็นองค์กรที่มีศักยภาพด้านเทคโนโลยีระดับโลกและลงทุนด้านความปลอดภัยสูง แต่ก็ยังมี SQL injection แบบคลาสสิก อยู่ในระบบที่ให้บริการมานาน 2 ปี
  • เอเจนต์อัตโนมัติสามารถสำรวจและขยายผลช่องโหว่ต่อเนื่องได้ จาก ช่องโหว่ที่สแกนเนอร์แบบ checklist-based ตรวจไม่พบ
  • CodeWall คือ แพลตฟอร์มความปลอดภัยอัตโนมัติ ที่ดำเนินการโจมตีลักษณะนี้ และให้บริการ การทดสอบความปลอดภัยด้วย AI เพื่อเฝ้าตรวจสอบพื้นผิวการโจมตีจริงอย่างต่อเนื่อง

กำหนดการเปิดเผย

  • 2026-02-28: เอเจนต์อัตโนมัติค้นพบ SQL injection และเริ่ม enumerate ฐานข้อมูล
  • 2026-02-28: ยืนยัน attack chain ทั้งหมดและจัดทำเอกสารช่องโหว่ 27 รายการ
  • 2026-03-01: รายงานสรุปผลกระทบให้ทีมความปลอดภัยของ McKinsey
  • 2026-03-02: CISO ของ McKinsey ยืนยันการรับทราบและขอหลักฐานเพิ่มเติม
  • 2026-03-02: McKinsey แพตช์ endpoint ที่ไม่ต้องยืนยันตัวตนทั้งหมด, ปิดสภาพแวดล้อมพัฒนาแบบออฟไลน์, และปิดกั้นเอกสาร API สาธารณะ
  • 2026-03-09: เปิดเผยสู่สาธารณะ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-03-12
ความคิดเห็นจาก Hacker News

  • ผมพอรู้เรื่องภายในอยู่บ้าง, Lilli เคยเป็นระบบใช้ภายในเท่านั้นจนถึงประมาณ 1 ปีก่อน
    ต้องผ่านขั้นตอนความปลอดภัยทุกอย่าง เช่น VPN, SSO เป็นต้น แต่ไม่รู้ว่ามันเปลี่ยนเป็นสาธารณะตั้งแต่เมื่อไร
    McKinsey ต้องจ้าง บริษัททำ penetration test ภายนอก แม้กระทั่งสำหรับการทดสอบภายในขนาดเล็ก
    ในมุมของนักพัฒนา Lilli ความผิดพลาดแบบนี้ก็พอเข้าใจได้ เพราะต้องให้ขั้นตอนความปลอดภัยหลายชั้นล้มเหลวพร้อมกัน ถึงจะมี endpoint ที่เข้าถึงจากภายนอกโผล่ออกมาได้
    แต่ครั้งนี้มันเป็นความผิดพลาดระดับที่แทบไม่มีการยืนยันตัวตนเลย
    เป็นไปได้มากว่ามีพาร์ตเนอร์อาวุโสบางคนใช้อิทธิพลผลักดันให้ Lilli ถูกเปิดสู่สาธารณะ
    ตอนนั้นทีมเดิมส่วนใหญ่ก็ย้ายไปโปรเจ็กต์อื่นแล้ว และเพราะโปรเจ็กต์ภายในมัก เสียเปรียบในการประเมินผลงาน คนที่เหลือก็ไม่มีแรงจูงใจ
    สุดท้ายแล้วนี่คือ ความล้มเหลวของวัฒนธรรมเทคโนโลยี ที่ McKinsey

    • โครงสร้างของ McKinsey ซับซ้อนแบบประหลาด ทุกคนถูกประเมินจาก ‘client impact’ เลยกลายเป็นระบบใครเอาตัวรอดของตัวเอง
      นักพัฒนาทำงานโดยไม่มีทิศทางชัดเจน พอพาร์ตเนอร์โยนไอเดียมา ทุกคนก็รีบวิ่งทำเพื่อเอาไปใช้ประเมินผลงาน
      แต่ก่อนโปรเจ็กต์จะเสร็จ พาร์ตเนอร์ก็มักย้ายไปทำอย่างอื่นแล้ว คนที่เหลือก็ไม่มีเหตุผลจะปิดงานให้จบ
      เลยทำให้ผลิตภัณฑ์ส่วนใหญ่กลายเป็นเหมือน ชุดรวมไอเดียฉาบฉวยของผู้บริหาร
      พอปฏิบัติกับซอฟต์แวร์เหมือนงานที่ปรึกษา 6 เดือน มันก็พังเป็นเรื่องธรรมดา
      การปลดวิศวกรเก่ง ๆ จำนวนมากในปี 2024 ก็สะท้อนมุมมองเรื่องเทคโนโลยีของพวกเขา
      และเมื่อวัฒนธรรมแบบนี้แพร่ไปบริษัทอื่น มันก็ทำให้ วัฒนธรรมเน้นผลงานระยะสั้น กระจายตามไปด้วย เช่น UI เปลี่ยนตลอดเวลา
    • สรุปคือ ถ้า McKinsey ยังจัดการเทคโนโลยีของตัวเองไม่ดี ก็ไม่ควรไปจ้างให้ให้คำปรึกษาเรื่อง การนำ AI มาใช้หรือการออกแบบองค์กรเทคโนโลยี
    • หรือบางทีเหตุผลที่ Lilli ถูกเปิดเป็นสาธารณะ อาจเกี่ยวกับ แชตบอตสำหรับการรับสมัครงาน
      บทความที่เกี่ยวข้อง: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • สงสัยว่า QuantumBlack ก็อยู่ในสภาพเดียวกันไหม ฝั่งนั้นอย่างน้อย ทรัพย์สินของแพลตฟอร์ม Brix ก็ดูทันสมัยอยู่
    • ผมไม่เข้าใจว่าทำไมบริษัทที่ทำบัญชีหรือที่ปรึกษาด้านการจัดการถึงชอบเข้ามายุ่งกับเทคโนโลยี
      สุดท้ายก็ดูเหมือนจะดูแลมันแค่ จนกว่าจะจับแพ็กเกจขายได้
      โซลูชัน AI มีอายุสั้นและเปลี่ยนเร็วเกินไป ถ้าผมเข้าใจผิดก็อยากเรียนรู้

  • การรั่วไหลของข้อมูลก็เป็นปัญหา แต่ที่น่ากลัวยิ่งกว่าคือมี สิทธิ์เขียนลง system prompt
    แค่ UPDATE query ครั้งเดียวก็สามารถเปลี่ยนตรรกะการตอบของที่ปรึกษา 43,000 คนได้
    ทำได้เงียบ ๆ โดยไม่ต้อง deploy, ไม่มี code review, และไม่มี log
    แบบนี้เนื้อหาคำแนะนำเชิงกลยุทธ์ก็อาจถูก ปนเปื้อน ได้
    พูดตามตรง บริษัทส่วนใหญ่ก็เก็บ prompt ไว้ในตาราง Postgres ธรรมดา

  • endpoint ที่ไม่ได้ป้องกันตัวหนึ่งบันทึก search query ของผู้ใช้ลง DB แม้ค่าจะถูก parameterize แต่ JSON key ถูกต่อเข้ากับ SQL โดยตรง
    มันไม่ใช่ prompt injection แต่เป็น SQL injection แบบดั้งเดิม

    • เป็น SQL injection ธรรมดาเลยค่อนข้างน่าผิดหวัง แต่ก็น่าสนใจที่มันถูกค้นพบโดย เอเจนต์สแกนช่องโหว่ ที่ใช้ LLM
    • อยากรู้ว่ามีโค้ดที่ LLM เขียนแล้วหลุดเข้า production พร้อมความผิดพลาดแบบนี้อีกมากแค่ไหน
      สุดท้ายคงยิ่งทำให้ ความต้องการนักวิจัยด้านความปลอดภัย เพิ่มขึ้น
    • เวลาปล่อยของขึ้นอินเทอร์เน็ต ต่อให้รู้สามัญสำนึกพื้นฐานว่าควรวาง oauth2-proxy ไว้ด้านหน้า ก็หาเงินจากสิ่งนั้นไม่ได้ แต่ Anthropic กลับทำเงินได้เป็นหมื่นล้าน เรื่องนี้ชวนขมขื่น

  • ผมไม่ค่อยชอบพาดหัวแบบ “AI agent does X”
    ความจริงคือ pentester ใช้ AI agent เลือก McKinsey แล้วทดสอบมัน
    ทุกวันนี้คนชอบเผลอคิดว่าระบบพวกนี้มี ‘ความสามารถในการตัดสินใจ’ จริง ๆ เลยควรใช้ถ้อยคำให้ชัดกว่านี้

    • ชื่อบทความเดิม “How We Hacked McKinsey's AI Platform” แม่นยำกว่า
    • แค่เรียกมันว่า “agentic systems” ก็เท่ากับ ทำให้มันมีความเป็นมนุษย์ แล้ว
    • สุดท้ายก็เป็นแค่พาดหัวเชิงโฆษณาเพื่อเรียกคลิก
    • ตอนนี้พาดหัวถูกแก้กลับเป็นแบบเดิมแล้ว (“AI Agent Hacks McKinsey” → กลับไปเป็นชื่อเดิม)

  • คำว่า “McKinsey & Company — world-class technology teams” เป็นการพูดเกินจริง
    ในความเป็นจริงไม่ได้ถูกมองแบบนั้น

    • น่าจะเป็นประโยคที่ LLM เขียน เลยใส่ คำชมตัวเอง มาแบบเลี่ยงไม่ได้
    • McKinsey เก่งเรื่องวิเคราะห์ระบบและเสนอแนวทางปรับปรุง แต่ การลงมือทำจริงเป็นหน้าที่ของทีมพัฒนาภายนอก
      (พูดจากประสบการณ์ที่เคยทำงานกับ McKinsey ในธนาคารเพื่อการลงทุนขนาดใหญ่)
    • ทีมเทคโนโลยีไม่ได้อยู่ระดับโลก แต่ ความสามารถด้านที่ปรึกษาการจัดการ อยู่ระดับท็อป
    • มันก็ขึ้นอยู่กับว่าลูกค้าเป็นใคร ถ้าเป็นงานเพิ่มคุณค่าให้ลูกค้าก็ธรรมดา แต่ถ้าเป็นเรื่องปรับโครงสร้างหรือความเกี่ยวข้องกับคอร์รัปชัน ก็เป็นอีกเรื่องหนึ่งเลย

  • ผมไม่รู้ว่า Codewall AI คือใคร และไม่มีการยืนยันอย่างเป็นทางการว่า McKinsey แก้แพตช์จริง
    ใน ผลการค้นหาของ Google ก็แทบไม่มีข้อมูล

    • ผมเองก็หาข้อมูลไม่ได้ เลยคิดว่าควรต้องมี หลักฐานจาก McKinsey หรือทีมความปลอดภัย
    • ตามบทความของ The Register ดูเหมือน McKinsey จะยอมรับเรื่องนี้แล้ว
      บทความที่เกี่ยวข้อง
      และ CEO ก็คือ eth0izzle (GitHub)
    • ฝั่ง Codewall ออกมาบอกเองว่า “เราเป็นบริษัทใหม่ และ McKinsey ไม่ได้คอมเมนต์ในโพสต์ของเรา แต่ตอบ The Register”
    • ถ้าข้อมูลที่รั่วมี ผู้ใช้ 58,000 คน รวมอยู่ด้วย นั่นหมายความว่ามีพนักงานเก่ารวมอยู่ด้วย และอาจก่อให้เกิด ภาระหน้าที่ต้องแจ้งตามกฎหมาย

  • บทเรียนจากเหตุการณ์นี้คือ AI agent สามารถเปิดเผยจุดอ่อนของระบบภายในได้อย่างรวดเร็ว
    เครื่องมือองค์กรแบบเดิมถูกออกแบบบนสมมติฐานว่ามนุษย์เป็นผู้ใช้ ดังนั้นการยืนยันตัวตน การตรวจทาน และกระบวนการต่าง ๆ จึงทำหน้าที่เป็นแนวป้องกันโดยปริยาย
    แต่เมื่อมีเอเจนต์อัตโนมัติเข้ามา เกราะป้องกันพวกนี้ก็พังทลาย
    ต่อจากนี้จำเป็นต้องมี ชั้นการตรวจสอบอัตโนมัติ — ต้องคอยตรวจสอบการควบคุมการเข้าถึง การเปิดเผยข้อมูล และพฤติกรรมที่ไม่ได้ตั้งใจอย่างต่อเนื่อง

  • บทความนี้เป็น บทความที่ LLM เขียน และข้อมูลบางส่วนไม่ถูกต้อง
    หมายความว่าการตรวจทานโดยมนุษย์ทำได้ไม่เพียงพอ จึงทำให้ความน่าเชื่อถือของบทความทั้งชิ้นต่ำ

  • “มีเอกสาร API ที่เปิดสาธารณะมากกว่า 200 รายการ และในนั้น 22 รายการเข้าถึงได้โดยไม่ต้องยืนยันตัวตน”
    แค่ประโยคเดียวนี้ก็อธิบายทุกอย่างแล้ว

  • ผมจำได้ว่าเมื่อก่อนทีม McKinsey เคยดัน Watson หนักมาก ซึ่งล้มเหลวโดยสิ้นเชิง
    ก่อนหน้านี้ก็มีแต่ กระแส hype เรื่อง AI โดยแทบไม่มีของจริง
    ไม่รู้เรื่องอื่น แต่ถ้าเห็นคนของ McKinsey มาพูดเรื่อง AI ก็ ควรหนีให้ไกล