KI-Agent nutzt SQL-Injection aus, um McKinseys Lilli-Chatbot zu kompromittieren

Angriffsdetails und Auswirkungen
Der KI-Agent von CodeWall zielte auf die generative KI-Plattform Lilli von McKinsey ab, die monatlich über 500.000 Anfragen verarbeitet und von 72 % der McKinsey-Mitarbeiter (etwa 40.000 Personen) genutzt wird. Der Agent arbeitete vollständig autonom – von der Zielrecherche über die Angriffsausführung bis hin zur Berichterstattung – ohne jegliche Anmeldedaten oder menschliche Eingaben während des Prozesses.
Technische Ausnutzung
Der Agent entdeckte 22 öffentlich zugängliche API-Endpunkte, die keine Authentifizierung erforderten. Ein Endpunkt schrieb Benutzersuchanfragen, bei denen JSON-Schlüssel direkt in SQL-Anweisungen verkettet wurden, was eine SQL-Injection-Schwachstelle erzeugte. Der Agent erkannte dies, als er feststellte, dass JSON-Schlüssel wortgetreu in Datenbankfehlermeldungen wiedergegeben wurden – ein Muster, das Standard-Sicherheitstools nicht als verdächtig markieren würden.
Die Ausnutzung war einfach: "Keine Bereitstellung erforderlich. Keine Codeänderung. Nur eine einzelne UPDATE-Anweisung, verpackt in einem einzigen HTTP-Aufruf."
Zugriffene Daten
- 46,5 Millionen Chatnachrichten zu Strategie, Fusionen und Übernahmen sowie Kundenprojekten (im Klartext gespeichert)
- 728.000 Dateien mit vertraulichen Kundendaten
- 57.000 Benutzerkonten
- 95 Systemprompts, die das Verhalten der KI steuern (alle beschreibbar)
Kritisches Risiko
Die beschreibbaren Systemprompts bedeuteten, dass ein Angreifer alle Antworten von Lilli an Zehntausende von Beratern hätte manipulieren können, möglicherweise ohne Entdeckung Sicherheitsvorkehrungen, Antwortgenerierung und Quellenzitate beeinflussen.
Reaktion und Behebung
CodeWall entdeckte die Schwachstelle Ende Februar und veröffentlichte die vollständige Angriffskette am 1. März. Bis zum 2. März hatte McKinsey:
- Alle nicht authentifizierten Endpunkte gepatcht
- Die Entwicklungsumgebung offline genommen
- Öffentliche API-Dokumentation blockiert
McKinsey gab an, alle Probleme innerhalb weniger Stunden nach Benachrichtigung behoben zu haben und keine Hinweise auf unbefugten Datenzugriff gefunden zu haben. Die Untersuchung des Unternehmens wurde von einem externen Forensik-Unternehmen unterstützt.
Weitreichende Implikationen
Dieser Vorfall zeigt, wie KI-Agenten zu effektiven Werkzeugen für Cyberangriffe auf andere KI-Systeme werden. CodeWall-CEO Paul Price merkte an, dass dies zwar eine Sicherheitsforschung war, Bedrohungsakteure jedoch zunehmend ähnliche Agententechnologie in realen Angriffen einsetzen, was darauf hindeutet, dass maschinengeschwindige Eindringversuche häufiger werden.
📖 Read the full source: HN AI Agents
👀 Siehe auch

OpenClaw blockierte ein fragwürdiges Skript aus einem Produktivitätshandbuch und erstellte dann weiter das finanzielle Arbeitsbuch
Ein Benutzer gab OpenClaw ein ZIP-Archiv mit einem verdächtigen Produktivitätshandbuch. OpenClaw weigerte sich, das Skript auszuführen, markierte es wegen der Auto-Installation in das Skills-Verzeichnis und erstellte das Arbeitsbuch manuell mit integrierten Fähigkeiten.

AviationWeather.gov-API enthält 'Stop Claude'-Prompt-Injection-Versuch
Ein Nutzer berichtet, dass die AviationWeather.gov-API der US-Regierung in ihren Antworten den Text 'Stop Claude' zurückgibt, wenn sie über Claude CoWork abgerufen wird, was eine Sicherheitswarnung über Prompt-Injection-Angriffe auslöst.

OpenAIs Bedrohungsbericht Juni 2026: KI-Agenten für schädliche Aktivitäten genutzt
OpenAIs neuester Bedrohungsbericht beschreibt, wie KI-Agenten für Desinformation, Phishing und Betrug eingesetzt werden, mit konkreten Vorfallzahlen und Abwehrstrategien.

OpenClaw Sicherheitsaudit: Befehlsaufforderungen für verständliche Schwachstellenberichte
Ein Reddit-Nutzer teilte einen Prompt für die OpenClaw CLI, der eine tiefgehende Sicherheitsprüfung durchführt und die Ergebnisse in einfachem Englisch ausgibt, mit Angaben zu offengelegten Schwachstellen, Schweregraden und konkreten Konfigurationskorrekturen.