Hacker News、McKinsey Lilliを突いたAI時代のSQL injection事例に注目

公開報告の主張

2026年3月9日、CodeWallはMcKinseyの社内AI platformであるLilliに関する重大な侵害事例を公開し、この話題はHacker Newsでクロール時点498ポイント、195コメントまで伸びた。報告によれば、人間の手動操作なしで動くautonomous offensive agentが公開attack surfaceを調査し、200超のAPI endpoint文書を発見、そのうち22件がauthentication不要だったという。

決定的だったのは、AI特有の未知の弱点というより、古典的なweb vulnerabilityだった点だ。CodeWallの説明では、あるunauthenticated endpointは値自体はparameterized SQLで扱っていた一方、JSON key、つまりfield nameをSQLに直接連結していた。agentはerror messageにそのkeyが反映されることからqueryの形を推定し、blind SQL injectionを段階的に進め、2時間以内にread/write権限へ到達したとされる。Hacker Newsで強い反応を得たのも、古い脆弱性がmodern AI stackではどこまで大きな被害につながるかを示したからだ。

AI systemで被害半径が広がる理由

CodeWallが示した影響範囲は単なるユーザーデータ流出ではない。報告では、4,650万件のchat message、72.8万件のfile、5.7万件のuser account、38.4万件のAI assistant、9.4万件のworkspace、そして368万件のRAG document chunkにアクセス可能だったとする。さらに12種類のmodel typeにまたがる95のprompt / configurationや、document ingestion pipelineのstorage metadataにも到達したと主張している。

技術的に重要なのはここだ。通常のSaaSでもdatabase write accessは十分危険だが、社内AI platformではそれがprompt layerの支配に直結しうる。CodeWallは、同じinjection経路でsystem prompt、guardrail、retrieval behaviorを書き換えられた可能性を指摘する。戦略、財務、client workで使われるassistantなら、単なるdata theftではなく、従業員が信頼する出力そのものを静かに汚染できることになる。

Hacker Newsでの意味

Hacker Newsの議論が重視したのは、「AIがSQL injectionを生んだ」ことではなく、AI productが既存のapplication flawのblast radiusを増幅することだった。prompt、routing rule、RAG metadata、model configが業務データと同じ平面に置かれる構成では、古典的なinjection bugがそのままcontrol plane compromiseになりうる。

CodeWallは2026年3月1日にMcKinseyへresponsible disclosureを送り、3月2日に受領確認とpatch verificationを行い、3月9日に公開したとしている。報告の全細部を外部から独立検証するのは難しくても、設計上の教訓は明確だ。enterprise AI teamは、prompt、retrieval state、model policyをコードやsecretと同格のcrown-jewel assetとして守る必要がある。

CodeWall disclosure · Hacker News discussion