हैकर्स द्वारा 46.5 मिलियन कर्मचारी चैट संदेशों, 728000 ‘संवेदनशील फाइलों’ और … तक पहुंच हासिल करने के बाद मैकिन्से को एआई को तेजी से अपनाने के जोखिम का एहसास हुआ।
एक साइबर सुरक्षा शोधकर्ता द्वारा दो घंटे के भीतर लाखों कर्मचारी चैट संदेशों और सैकड़ों हजारों संवेदनशील फ़ाइलों तक पहुंच प्राप्त करने के बाद मैकिन्से एंड कंपनी ने अपने आंतरिक एआई प्लेटफॉर्म में एक गंभीर सुरक्षा दोष को ठीक करने के लिए जल्दबाजी की। द फाइनेंशियल टाइम्स (कोडवॉल के माध्यम से) की एक रिपोर्ट के अनुसार, लक्ष्य लिली था, प्रबंधन कंसल्टेंसी का इन-हाउस एआई प्लेटफॉर्म जिसका उपयोग इसके 40,000 कर्मचारी प्रतिदिन रणनीति की योजना बनाने, डेटा का विश्लेषण करने और प्रोजेक्ट प्लान और क्लाइंट प्रेजेंटेशन बनाने के लिए करते हैं।कोडवॉल के शोधकर्ता, एक सुरक्षा स्टार्टअप जो ग्राहकों की सुरक्षा को बेहतर बनाने में मदद करने के लिए ग्राहकों के बुनियादी ढांचे पर लगातार हमला करने के लिए एआई एजेंटों का उपयोग करता है, का कहना है कि एजेंट ने दो घंटे के भीतर लिली के संपूर्ण उत्पादन डेटाबेस तक पूर्ण पढ़ने और लिखने की पहुंच प्राप्त कर ली। फरवरी के अंत में मैकिन्से की सुरक्षा टीम को कोडवॉल के निष्कर्षों के बारे में सतर्क कर दिया गया था। फर्म ने पहचानी गई कमजोरियों को ठीक किया।कोडवॉल के अनुसार, एआई एजेंट ने एक्सेस किया:
- मैकिन्से स्टाफ के बीच 46.5 मिलियन आंतरिक चैट संदेशों का आदान-प्रदान हुआ
- एक्सेल स्प्रेडशीट, पॉवरपॉइंट डेक और वर्ड दस्तावेजों सहित 728,000 “संवेदनशील” फ़ाइल नामों की एक सूची
- 57,000 उपयोगकर्ता खाते
- 384,000 एआई सहायक
- 94,000 कार्यस्थान
कोडवॉल ने ‘बौद्धिक मुकुट रत्नों’ तक पहुंच बनाई
कोडवॉल ने संयोजन को “कंपनी आंतरिक रूप से एआई का उपयोग कैसे करती है इसकी पूर्ण संगठनात्मक संरचना” के रूप में वर्णित किया और इसे फर्म का “बौद्धिक मुकुट रत्न” कहा। ‘हैकिंग’ ने लिली के आंतरिक सिस्टम संकेतों और यहां तक कि एआई मॉडल कॉन्फ़िगरेशन को भी उजागर किया, जिसका अर्थ है कि इसने एआई को यह बताने वाले निर्देशों का खुलासा किया कि उसे कैसे व्यवहार करना है, उसे क्या करने की अनुमति है और क्या रेलिंग लगाई गई है।
‘उल्लंघन’ के बारे में मैकिन्से का क्या कहना है
मैकिन्से ने उल्लंघन की सबसे चिंताजनक व्याख्या को पीछे धकेल दिया है। कंसल्टेंसी से जुड़े एक करीबी व्यक्ति का हवाला देते हुए रिपोर्ट में कहा गया है कि उल्लंघन के बाद संवेदनशील फाइलों के नाम दिखाई दे रहे थे, लेकिन फाइलें अलग से संग्रहित की गई थीं और वे कभी भी खतरे में नहीं थीं।मैकिन्से ने कहा कि “हाल ही में एक सुरक्षा शोधकर्ता द्वारा हमारे आंतरिक एआई टूल, लिली से संबंधित भेद्यता के बारे में सचेत किया गया था। हमने तुरंत भेद्यता की पुष्टि की और घंटों के भीतर समस्या को ठीक कर दिया।”“एक प्रमुख तृतीय-पक्ष फोरेंसिक फर्म द्वारा समर्थित हमारी जांच में इस बात का कोई सबूत नहीं मिला कि ग्राहक डेटा या ग्राहक की गोपनीय जानकारी इस शोधकर्ता या किसी अन्य अनधिकृत तृतीय पक्ष द्वारा एक्सेस की गई थी। मैकिन्से की साइबर सुरक्षा प्रणालियाँ मजबूत हैं, और हमारे पास ग्राहक डेटा और जानकारी की सुरक्षा से बढ़कर कोई प्राथमिकता नहीं है, जो हमें सौंपी गई है।”
कैसे कोडवॉल ने मैकिन्से एआई का उल्लंघन किया
कोडवॉल का कहना है कि यह विशेष रूप से उन कंपनियों पर ध्यान केंद्रित करता है जिन्होंने कमजोरियों के लिए अपने सिस्टम की जांच करने के लिए एथिकल हैकर्स का स्वागत करते हुए दिशानिर्देश प्रकाशित किए हैं। कोडवॉल ने खुलासा किया कि उसके एआई एजेंट ने खुद मैकिन्से को एक लक्ष्य के रूप में सुझाया था – बिना किसी इंसान के ऐसा करने का निर्देश दिए। इसमें कहा गया है कि एक बार कमजोरियों का पता चलने के बाद, एजेंट ने स्वचालित रूप से आगे की फाइलों तक पहुंचने का प्रयास बंद कर दिया और अपने निष्कर्षों की सूचना दी।कंपनी ने कहा, “एआई युग में, खतरे का परिदृश्य तेजी से बदल रहा है – एआई एजेंट स्वायत्त रूप से लक्ष्यों का चयन करना और उन पर हमला करना नया सामान्य हो जाएगा।”
