सायबरसुरक्षा संशोधकाने लाखो कर्मचारी चॅट संदेश आणि शेकडो हजारो संवेदनशील फायलींमध्ये प्रवेश मिळवल्यानंतर मॅकिन्से अँड कंपनीने त्याच्या अंतर्गत AI प्लॅटफॉर्ममधील गंभीर सुरक्षा त्रुटी दूर करण्यासाठी धाव घेतली – सर्व दोन तासांच्या आत. द फायनान्शिअल टाईम्स (कोडवॉल द्वारे) च्या अहवालानुसार, लक्ष्य लिली होते, व्यवस्थापन सल्लागाराचे इन-हाउस AI प्लॅटफॉर्म 40,000 कर्मचारी दररोज रणनीती आखण्यासाठी, डेटाचे विश्लेषण करण्यासाठी आणि प्रकल्प योजना आणि ग्राहक सादरीकरणे तयार करण्यासाठी वापरतात.CodeWall मधील संशोधक, एक सुरक्षा स्टार्टअप जे AI एजंट्सचा वापर करून ग्राहकांच्या पायाभूत सुविधांवर सतत हल्ला करून त्यांची सुरक्षा सुधारण्यास मदत करतात, असे म्हणतात की एजंटने दोन तासांच्या आत लिलीच्या संपूर्ण उत्पादन डेटाबेसमध्ये पूर्ण वाचन आणि लेखन प्रवेश मिळवला. मॅकिन्सेच्या सुरक्षा पथकाला फेब्रुवारीच्या शेवटी कोडवॉलच्या निष्कर्षांबद्दल सतर्क करण्यात आले. फर्मने ओळखल्या गेलेल्या भेद्यता पॅच केल्या.CodeWall नुसार, AI एजंटने प्रवेश केला:
- McKinsey कर्मचाऱ्यांमध्ये 46.5 दशलक्ष अंतर्गत चॅट संदेशांची देवाणघेवाण झाली
- एक्सेल स्प्रेडशीट्स, पॉवरपॉइंट डेक आणि वर्ड दस्तऐवजांसह 728,000 “संवेदनशील” फाइल नावांची यादी
- 57,000 वापरकर्ता खाती
- 384,000 AI सहाय्यक
- 94,000 कार्यक्षेत्रे
कोडवॉलने ‘इंटलेक्चुअल क्राउन ज्वेल्स’मध्ये प्रवेश केला
CodeWall ने या संयोजनाचे वर्णन “फर्म अंतर्गत AI कशी वापरते याची संपूर्ण संस्थात्मक रचना” असे केले आणि त्यास फर्मचे “बौद्धिक मुकुट दागिने” म्हटले. ‘हॅकिंग’ ने लिलीच्या अंतर्गत सिस्टम प्रॉम्प्ट्स आणि एआय मॉडेल कॉन्फिगरेशन देखील उघड केले, याचा अर्थ एआयने कसे वागावे, त्याला काय करण्याची परवानगी आहे आणि कोणते रेलिंग लावले आहे हे सांगणाऱ्या सूचना उघड केल्या.
‘भंगा’बद्दल मॅकिन्सेचे काय म्हणणे आहे
मॅकिन्सेने उल्लंघनाच्या सर्वात चिंताजनक स्पष्टीकरणावर मागे ढकलले आहे. सल्लागाराच्या जवळच्या व्यक्तीचा हवाला देऊन, अहवालात असे म्हटले आहे की उल्लंघनानंतर संवेदनशील फाईल्सची नावे दृश्यमान असताना, फायली स्वतःच स्वतंत्रपणे संग्रहित केल्या गेल्या आणि “कधीही धोका नाही”.McKinsey म्हणाले की “अलीकडेच एका सुरक्षा संशोधकाने आमच्या अंतर्गत AI टूल, Lilli शी संबंधित असुरक्षिततेबद्दल इशारा दिला होता. आम्ही तातडीने असुरक्षिततेची पुष्टी केली आणि काही तासांत समस्येचे निराकरण केले”.“आमच्या तपासात, एका अग्रगण्य तृतीय-पक्ष फॉरेन्सिक फर्मद्वारे समर्थित, क्लायंट डेटा किंवा क्लायंटची गोपनीय माहिती या संशोधकाने किंवा इतर कोणत्याही अनधिकृत तृतीय पक्षाद्वारे ऍक्सेस केल्याचा कोणताही पुरावा आढळला नाही. McKinsey च्या सायबर सुरक्षा प्रणाली मजबूत आहेत आणि आमच्याकडे सोपवण्यात आलेले क्लायंट डेटा आणि माहितीच्या संरक्षणापेक्षा कोणतेही उच्च प्राधान्य नाही,” असे म्हणणे होते.
CodeWall ने McKinsey AI चे उल्लंघन कसे केले
CodeWall म्हणते की ते विशेषत: अशा कंपन्यांवर लक्ष केंद्रित करते ज्यांनी नैतिक हॅकर्सचे स्वागत करणारी मार्गदर्शक तत्त्वे प्रकाशित केली आहेत ज्यांनी असुरक्षिततेसाठी त्यांच्या सिस्टमची तपासणी केली आहे. CodeWall ने उघड केले की त्याच्या AI एजंटने स्वतः मॅकिन्सेला लक्ष्य म्हणून सुचवले होते – मानवाने तसे करण्याचे निर्देश न देता. हे जोडले की एकदा भेद्यता आढळून आल्यावर, एजंटने आपोआप पुढील फाइल्समध्ये प्रवेश करण्याचा प्रयत्न करणे थांबवले आणि त्याचे निष्कर्ष नोंदवले.“एआय युगात, धोक्याची लँडस्केप मोठ्या प्रमाणात बदलत आहे – एआय एजंट स्वायत्तपणे लक्ष्य निवडणे आणि त्यावर हल्ला करणे नवीन सामान्य होईल,” कंपनीने म्हटले आहे.
