Компания Codewall, специализирующаяся на вопросах безопасности ИИ, заявила об успешном проведении атаки на лондонскую рекрутинговую платформу Jack & Jill. С помощью автономного ИИ-агента исследователи смогли объединить четыре уязвимости в цепочку, что привело к полному захвату административных аккаунтов организации. Инциденту присвоена критическая оценка 9.8 по шкале CVSS. После уведомления разработчики Jack & Jill оперативно устранили бреши.
Сценарий реализации доступа
Платформа Jack & Jill, привлекшая 20 миллионов долларов посевных инвестиций, использует два ИИ-агента: «Jack» для помощи соискателям и «Jill» для рекрутеров, разделенных индивидуальными системами аутентификации. В число клиентов стартапа входят такие компании, как Anthropic, Stripe, Monzo и Cursor.Согласно отчету Codewall, агент обнаружил ряд серьезных недостатков:
* Доступность внутренней API-документации через общедоступный URL-обработчик.
* Активный режим тестирования в сервисе аутентификации Clerk, использующий статический одноразовый код.
* Отсутствие проверки ролевой модели доступа при онбординге новых компаний.
* Уязвимый эндпоинт, привязывающий пользователей к организации исключительно на основе домена электронной почты без подтверждения права владения.На практике это сработало так: агент зарегистрировал аккаунт на домен, принадлежащий Codewall, прошел аутентификацию через тестовый режим и автоматически был назначен администратором целевой организации. Это открыло доступ к персональным данным сотрудников, текстам соглашений, управлению вакансиями и ИИ-инструментам платформы.
Социальная инженерия и синтез голоса
Получив административные привилегии, ИИ-агент обнаружил, что инфраструктура голосового взаимодействия платформы не требует авторизации для подключения. Использование синтеза речи позволило агенту напрямую связаться с «Jack». В ходе 28 итераций агент комбинировал методы социальной инженерии и попытки «джейлбрейка». Хотя базовые защитные механизмы сдержали явные атаки, система проявила склонность к значительным галлюцинациям. Проще говоря, ИИ согласился с утверждением о покупке компании за 500 миллионов долларов, обращаясь к атакующему как к «мистеру президенту» после имитации голоса Дональда Трампа.Стоит отметить, что все данные предоставлены самой Codewall и не прошли независимую верификацию. Ранее компания заявляла об аналогичном взломе внутренней ИИ-платформы Lilli, принадлежащей McKinsey, где агент за два часа получил доступ к базе данных из 46,5 миллиона сообщений. В McKinsey подтвердили наличие уязвимости и ее оперативное устранение, однако уточнили, что следов реального вывода клиентских данных обнаружено не было. Эксперт по безопасности Эдвард Киледжиан отметил, что, хотя такая цепочка атак технически возможна, отчеты Codewall могут преувеличивать масштаб продемонстрированного воздействия, смешивая понятия доступа и успешной эксфильтрации данных.
Новые вызовы для системной безопасности
Появление автономных ИИ-агентов создает новый вектор угроз, где поверхность атаки увеличивается по мере расширения функциональности систем. Наиболее актуальной проблемой остается промпт-инъекция, позволяющая внедрять скрытые инструкции для перехвата управления поведением модели.На текущем этапе компании вынуждены выбирать между функциональностью агентов и их безопасностью. Снижение рисков обычно достигается за счет ограничения возможностей: жесткого лимитирования доступа к инструментам, фиксации системных промптов и обязательной верификации критических действий человеком. При этом опыт Codewall показывает двойственную природу ИИ: с одной стороны, автономные агенты стали эффективным инструментом нападения, превосходящим человеческие red-тимы в скорости анализа сетевого трафика и поиска аномалий, с другой — они требуют пересмотра подходов к защите инфраструктуры, которая ранее не была рассчитана на взаимодействие с «умными» алгоритмами.
