PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

マッキンゼー社内AI「Lilli」の脆弱性|CodeWall報告と企業AIの対策

CodeWallが公表したMcKinsey LilliのSQLインジェクションと認証不備を整理し、公表値の扱い、修正時系列、企業AIで必要な4つの対策を解説します。
安全に生きたい編集部

結論:セキュリティ企業CodeWallは、マッキンゼーの社内AI「Lilli」に認証不要のAPIとSQLインジェクションを発見し、約2時間で本番データベースの読み書き権限を得たと2026年3月9日に公表しました。これは責任ある開示の一環で、CodeWallによれば問題は公開前に修正済みです。

https://www.youtube.com/watch?v=fngmmjVxIp8

CodeWallが公表した攻撃経路

  1. 200を超えるAPIの仕様が公開され、そのうち22個は認証不要だった。
  2. 検索内容を書き込むAPIで、JSONの値は安全に処理されていた一方、キー名がSQL文へ連結されていた。
  3. AIエージェントがエラー応答を手掛かりにSQLインジェクションを組み立て、IDORと組み合わせた。
  4. 同じデータベース内にチャット、ファイル、RAG文書、システムプロンプトが置かれていたため、影響範囲が拡大した。

数字は「CodeWallの公表値」

CodeWallは、4650万件のチャット、72万8000件のファイル、5万7000件のユーザーアカウント、368万件のRAGチャンク、95個のシステムプロンプト設定へ到達可能だったとしています。ただし、これらはCodeWallの調査報告に基づく数値です。第三者監査報告やマッキンゼーによる同等の詳細な公表値ではないため、本記事では「実際に流出した件数」ではなく「研究者が到達可能と報告した範囲」として扱います。

CodeWallは検証を必要最小限に限定し、サービス停止やデータ持ち出しを行わなかったと説明しています。2026年3月1日に報告し、3月2日に認証不要のAPIが修正され、3月9日に公開したという時系列です。

企業AIで本当に守るべき4点

  • API認証:匿名で使えるエンドポイントを棚卸しし、原則拒否にする。
  • 入力検証:値だけでなくJSONキーや並び替え条件など、SQL構造へ入る部分を許可リスト化する。
  • データ分離:チャット、RAG、ユーザー情報、システムプロンプトを同じ権限で読める構成にしない。
  • プロンプトの完全性:変更履歴、承認フロー、署名・ハッシュ、異常なUPDATEの監視を導入する。

参考情報

重要なのは「AIが危険」なのではなく、AIを支えるAPI・認証・データベース・権限管理を従来どおり厳密に守ることです。役に立ったら、チャンネル登録と高評価で応援してください。

記事URLをコピーしました