I starten af året blev det London-baserede selskab CodeWall stiftet i et forsøg på at udstille AI-relaterede sikkerhedsbrister. Bag virksomheden står Paul Price, som er tidligere softwareingeniør for det britiske it-konsulenthus Schillings og tidligere Deputy Global Head of Security for The Olayan Group. I hans virksomhed er der blot en enkelt medarbejder – ham selv. […]
I starten af året blev det London-baserede selskab CodeWall stiftet i et forsøg på at udstille AI-relaterede sikkerhedsbrister.
Bag virksomheden står Paul Price, som er tidligere softwareingeniør for det britiske it-konsulenthus Schillings og tidligere Deputy Global Head of Security for The Olayan Group.
I hans virksomhed er der blot en enkelt medarbejder – ham selv. Resten består af en række AI-agenter.
Alligevel har han formået at hacke sig ind i de tre MBB-konsulenthuse – McKinsey, Bain og BCG – i et af tilfældene på under 18 minutter.
Det skriver Børsens Advisory Brief, som nu har fået hackergeniet i tale.
Angrebene kommer
“Jeg tror ikke, det er et spørgsmål om, at de gør noget forkert. Det er i virkeligheden et udtryk for, at ingen kan være 100 pct. sikre,” siger Paul Price, der har 16 års erfaring inden for it-sikkerhed.
Han lagde i virksomheden CodeWall ud med at hacke McKinseys interne AI-platform, Lilli. Det tog under to timer, før han havde fuld læse- og skriveadgang til McKinseys database.
Det var først og fremmest en demonstration af hans platforms kapacitet. Men han gjorde det også for at vise direktører og sikkerhedschefer, hvilken trussel AI er på vej til at skabe:
“De her angreb kommer ikke om 12 eller 18 måneder. De er her nu,” fortæller han.
Senere blev det Bains tur, hvor han efter 18 minutter fik adgang til op mod 10.000 interne AI-samtaler og endelig fik BCG også en tur på deres interne AI-system, Gamma.
Det meddeler CodeWall selv på LinkedIn og linker til virksomhedens hjemmeside, hvor det forklares, hvordan angrebet er foretaget.
Price rapporterede under alle angrebene fejlene direkte til virksomhedernes øverste it-sikkerhedschefer, hvilket i den britiske lovgivning altså fritager ham for retsforfølgelse.
En brandingstrategi
Paul Price lægger ikke skjul på, at CodeWall har en kommerciel interesse, og hans demonstrative hackerangreb har tilsyneladende ikke været til overs.
I interviewet til Børsens Advisory Board fortæller han nemlig, at kunderne nu står i kø for at få hans AI-agenter til at hacke deres systemer.
Og han går nu ud med en advarsel om udviklingen i branchen:
“Der vil ske nogle store datalækager i de kommende år, som er et direkte resultat af AI-drevne angreb. Virksomhederne er ikke fuldt forberedte. De vidste godt, at det ville komme, men de forstår ikke, at det allerede er her nu,” siger han og påpeger, at sikkerhedsprocedurerne hos de store konsulenthuse stadig er præget af tidskrævende og dyre menneskedrevet tests.
Han fortæller, at sikkerhedsprocedurerne derfor kun foretages én til to gange årligt, og at det i højere grad handler om at få et slags compliance-flueben frem for et reelt sikkerhedstjek.