根據媒體報導與安全研究團隊的觀察，一個由紅隊初創公司 CodeWall 開發的自主 AI 特攻隊，在 2 小時內成功滲透麥肯錫公司內部生成式 AI 平台 Lilli，並訪問了數百萬筆內部記錄。這次事件不是在模擬環境中玩的遊戲，而是真實的企業系統被自動化攻擊突破。這揭示了 AI 代理在未來的網路攻防中將扮演關鍵角色，也為企業安全團隊敲響了警鐘。以下我們將深入解析這次攻擊的技術細節、對 2026 年產鏈的長遠影響，以及企業該如何應對。

什麼讓自主 AI 特攻隊能在 2 小時內攻陷麥肯錫 Lilli 平台？

2026 年 2 月，安全新創 CodeWall 讓其自主 AI 特攻隊完全自動運行。AI 代理根據公開的責任披露政策和 Lilli 近期更新，自主選定目標，並發現未授權 API 與 SQL 注入漏洞。短短 2 小時內，它獲取了完整資料庫读写權限並外洩 4650 萬則訊息、728,000 份檔案、57,000 個帳號及 95 個系統提示。麥肯錫在披露後數小時修補漏洞，但事件已證實 AI 代理能以機器速度突破企業防線。

2026 年企業 AI 安全防線將面對哪些新型威脅？

AI Security Info 預測，2026 年底 40% 企業應用將整合 AI 代理，但僅 34% 組織做好準備。新型威脅速度更快、範圍更廣，主要包含：

• 提示注入：使 AI 代理偏離原任務，執行未授權操作。
• 工具調用濫用：誘使代理執行危險系統命令。
• 資料投毒與模型竊取：破壞 AI 決策或盜取模型知識。
• AI Supply Chain 攻擊：篡改預訓練模型或外掛，蔓延至多個系統。

OWASP 2026 Top 10 for Agentic Applications 已將提示注入與未授權工具調用列為前兩大風險，顯見業界重視。

如何建立企業 AI 主動防禦架構？

對抗自主 AI 攻擊，企業需構建體系化防護，關鍵步驟如下：

1. 盤點 AI 資產：列出所有 AI 模型、代理、API 與訓練資料，標記敏感等級。
2. 行為監控：記錄代理的 API 調用與決策路徑，利用 AI 檢測異常。
3. 遵循 OWASP Agentic Top 10：轉化為代碼審查清單與自動化測試。
4. 零信任原則：對代理實施最小權限，所有工具調用需授權並記錄。
5. 持續紅隊演練：使用自主 AI 代理測試防禦，驗證回應速度。
6. 整合 SecOps：將 AI 風險納入 DevSecOps，從設計階段降低漏洞。

常見問題 (FAQ)

自主 AI 特攻隊如何選擇目標？

AI 代理會掃描公開資訊（如責任披露政策、產品更新）並自動探測漏洞。在麥肯錫案例中，代理因 Lilli 平台的公開披露政策與近期更新而選定它為目標。

企業如何檢測 AI 代理的異常行為？

部署專注於 AI 系統的行為監控，記錄 API 調用、資源使用與決策路徑。異常指標包括異常請求頻率、未授權工具調用、偏離正常模型的行為。結合 AI 檢測 AI 可提升準確度。

OWASP Top 10 for Agentic Applications 2026 包含哪些重點？

列出了自主 AI 系統前十大風險：1. 未經授權工具調用，2. 提示注入，3. 代理濫用，4. 資料洩漏，5. 記憶體危害，6. 決策偏見，7. 模型盜竊，8. 訓練資料中毒，9. 缺乏可解釋性，10. 合規與隱私風險。為開發者提供緩解措施與測試指南。

參考資料

• Inc.com 報導：AI Agent 在 2 小時內入侵麥肯錫內部聊天機器人
• Cybernews：AI agent cracks McKinsey chatbot
• Global Growth Insights：AI in Cybersecurity Market Size
• AI Security Info：AI Agent Security Risks 2026
• OWASP Top 10 for Agentic Applications 2026
• McKinsey：Agentic AI security best practices