AI vs AI：レッドチームのAIエージェントがマッキンゼー社のチャットボットをハッキング

佐々山 Tacos

2026.03.10

AI vs AI：レッドチームのAIエージェントがマッキンゼー社のチャットボットをハッキング

The Register – Mon 9 Mar 2026

レッドチームセキュリティスタートアップCodeWall社のAIエージェントが、マッキンゼー・アンド・カンパニー社の社内向けAIプラットフォーム「Lilli」をハッキングすることに成功したという。同AIエージェントはたった2時間のうちに、このチャットボットへの完全な読み取り・書き込みアクセスを獲得したとされる。

Lilliは、世界的コンサルティングファームである、マッキンゼー社が2023年7月にリリースした社内向けの生成AIプラットフォーム。同社従業員の72%が、日常業務にLilliを使っているとされる。

CodeWall社が3月9日に公開したブログ記事によれば、同社のオフェンシブAIエージェントは自律的にマッキンゼーを標的にすることを提案。その理由として、同社が責任ある開示に関するポリシーを公開していること（ガードレール内での活動維持のため）と、Lilliプラットフォームに最近加えられたアップデートを挙げたという。

CodeWallのAIエージェントは2026年2月、マッキンゼーの資産に関する一切の認証情報も内部知識もない状態で、オフェンシブなレッドチーミングをスタート。アタックサーフェスをマッピングし、200超のエンドポイントで一般公開されたAPI仕様書を発見した。これらのうち22件には認証が実装されていなかったとされる。

22件のうち1件はデータベースにユーザー検索クエリを書き込んでおり、値自体は安全にパラメータ化されていたものの、JSONキーはSQLに直接連結されていた。AIエージェントは、データベースのエラーメッセージにJSONキーがそのまま反映されているのを発見し、OWASP ZAPでは検知されなかったSQLインジェクションの問題を認識したという。そこから処理を反復するうちに各エラーメッセージがクエリ構造を少しずつ明らかにしていき、15回の試行後に従業員の識別子など実際のデータが現れるようになったとされる。

CodeWallの研究者らによれば、同AIエージェントは人間の介入を一切受けず、2時間足らずで本番データベース全体への完全な読み取り・書き込みアクセスを獲得し、戦略・M&A・顧客対応に関する4,650万件のチャットメッセージ（すべて平文）、機密顧客データを含む72万8,000件のファイル、5万7,000件のユーザーアカウント、Lilli AIの動作を制御する95件のシステムプロンプトにアクセスすることができたという。なお、これらのシステムプロンプトはすべて書き込み可能な状態だったとされる。つまり、攻撃者がLilliの出力内容を自在に操り、チャットボットを利用する数万人のマッキンゼーのコンサルタントに対する返答を改ざんできる状態だったという。

AIエージェントによるこれらの発見を受け、マッキンゼーはすべての認証が実装されていないエンドポイントにパッチを適用し、開発環境をオフラインにしたほか、公開API仕様書をブロック。問題発覚から数時間以内に、CodeWallにより特定されたすべての問題を修正したという。

CodeWallは、今回のプロセス全体が「完全に自律」したもので、ターゲットの調査・分析から攻撃・報告までをAIエージェントが人間の介入を受けずにこなしたと述べている。同社のCEOであるPrice氏はThe Registerに対し、「ハッカーらはこれと同じテクノロジーおよび戦略を使い、無差別に攻撃を行うようになるだろう」とコメント。金銭的な動機を持つ攻撃者にAIエージェントが悪用されることへの懸念を示した。