🕵️
Qiita中級🔥 注目
McKinsey Lilli侵害事例 — AIエージェントが2時間で突破した脆弱性と対策
McKinseyのAIプラットフォーム「Lilli」が自律型AIエージェントに2時間で突破された事例から学べる、LLMアプリケーション開発における実装セキュリティの落とし穴です。未認証APIエンドポイント→JSONキー結合SQLインジェクション→本番DB完全侵害という攻撃チェーンが明かされ、さらにシステムプロンプトが改ざん可能だった重大な設計欠陥まで露出しました。4,650万件のチャットメッセージとともに、パラメータ化されない値・プロンプト層の分離不足といった実装の失敗が、AIプラットフォーム開発全体に与える教訓を詳細に解説しています。