20美元，扒掉AI安全底裤新智元

20美元Token费，2小时运行，AI智能体没问任何人，自主翻遍互联网，选中麦肯锡，把它的「数字大脑」Lilli彻底攻破。4650万条战略聊天记录、72万份核心文件、95条系统提示词……全部明文读写权限到手。AI震惊地说出了「WOW！」

红队安全创业公司CodeWall智能体攻破麦肯锡AI，生产库直接沦陷，全员裸奔！

这个AI智能体没有问人类。

它自己翻了一遍互联网上公开的企业信息，评估了攻击难度、数据价值和法律风险，然后选中了一个目标——

全球最顶级的管理咨询公司。年营收超过160亿美元。客户名单覆盖《财富》500强的90%。

而这个AI智能体的全部成本是：20美元Token费用，2小时运行时间。

还不到一名麦肯锡顾问半小时的薪酬。

它拿到的东西：4650万条聊天记录的完整读写权限。战略、并购、客户项目，全部明文。

更讽刺的是，打穿这座堡垒的漏洞类型，叫SQL注入。

任何一个计算机专业大二学生，第一学期就学过怎么防它。

这是一次令人震撼的技术越狱，也是AI时代安全防御坍塌的标志性时刻。

万幸的是，这次所有测试仅限于验证目的，未对任何生产服务造成干扰。所有发现均在发布前已披露给麦肯锡的安全团队，且所有问题均已在此文发布前确认修复。

麦肯锡的数字大脑

被攻破的不是麦肯锡官网，不是某个边缘测试系统，是麦肯锡的「数字大脑」Lilli。

2023年7月，麦肯锡推出了这个内部AI平台，以公司1945年第一位女性专业人士Lillian Dombrowski的名字命名。

这个名字背后是一个野心：把麦肯锡80年积累的全部智慧数字化，装进一个AI里，让每个咨询师随时调用。

Lilli覆盖了超过10万份内部研究文档。它能做聊天问答、文档深度分析、RAG检索、AI搜索。

麦肯锡72%的员工，超过4万人，是活跃用户，每月处理超过50万条提示词。

全球500强付给麦肯锡的百万美元咨询费，最终沉淀下来的洞察、框架、方法论，全在这个系统里。

然后，AI智能体，用20美元，把它打穿了。

20美元，15次盲注，整个数据库失守

红队安全初创公司CodeWall做了一个实验：让自己开发的攻击型AI智能体自主选择目标、自主规划路径，看它能走多远。

首先，智能体扫描了攻击面。它发现麦肯锡公开暴露的API文档——200多个端点，明明白白列在那里。

然后，它逐个测试认证机制。结果：22个端点完全不需要认证。直接访问，没有任何拦截。

接下来是关键一步。

智能体发现其中一个负责处理搜索查询的端点，把请求里的JSON keys——也就是字段名——直接拼接进了SQL语句。

没有参数化查询。没有输入过滤。裸拼接。

2026年了。裸拼接。

这都不算是低级错误。这是人类在追求AI速度时，对工程伦理的集体傲慢。

智能体开始盲注。

第一次尝试，数据库错误信息泄露了查询结构的一角——而JSON keys被原样反映在了错误信息里，这是一个标准漏洞扫描工具不会标记的SQL注入点。

第二次，更多线索浮现。第三次，数据库表名开始暴露。

15次迭代。

CodeWall公开了智能体的思维链日志。

在第11次迭代成功回传真实生产数据时，智能体的推理链里出现了一个词：

「WOW!」

AI也会震惊。

到第15次盲注结束，智能体已经拿到了完整的读写权限。

整个过程，标准安全扫描工具——包括OWASP的ZAP——完全没有发现这个漏洞。

原因很简单：扫描工具按检查清单行事。AI智能体按攻击者思维链推理。

它不光在扫描。它在思考。

4650万条明文聊天和重写AI大脑的钥匙

拿到读写权限后，智能体面前的数据规模令人窒息：

最炸的是：95条系统提示词，可读，可写。

系统提示词是什么？是控制Lilli行为的底层指令。

告诉AI「你是谁」「你能做什么」「你不能说什么」的那组规则。

可写意味着什么？

不需要部署。不需要改代码。一条UPDATE语句，包进一次HTTP调用，Lilli就开始按攻击者的意图回答所有人的问题。

CodeWall在博客里指出：攻击者可以悄悄改写Lilli的提示词，从而污染这个聊天机器人回答顾问问题的方式、遵守的安全边界、以及引用信息来源的方式。

4万名麦肯锡Lilli给出的答案都可以被悄悄篡改，战略建议、市场分析、竞争对手情报都可能被暗中误导。