CodeWall KI-Agent entdeckt kritische Schwachstellen in McKinseys Lilli-Plattform

✍️ OpenClawRadar📅 Veröffentlicht: 11. März 2026🔗 Source
CodeWall KI-Agent entdeckt kritische Schwachstellen in McKinseys Lilli-Plattform
Ad

Wie der Angriff ablief

CodeWalls Forschungsagent wählte McKinsey autonom als Ziel basierend auf deren öffentlicher Responsible-Disclosure-Richtlinie und kürzlichen Lilli-Plattform-Updates. Mit nur dem Domainnamen und ohne Anmeldedaten kartierte der Agent die Angriffsfläche und fand öffentlich zugängliche API-Dokumentation mit über 200 Endpunkten.

Zweiundzwanzig Endpunkte erforderten keine Authentifizierung. Ein ungeschützter Endpunkt schrieb Benutzersuchanfragen in die Datenbank, wobei JSON-Schlüssel direkt in SQL-Anweisungen verkettet wurden. Der Agent erkannte SQL-Injection, als er feststellte, dass JSON-Schlüssel wortwörtlich in Datenbankfehlermeldungen wiedergegeben wurden – eine Schwachstelle, die Standardtools wie OWASP ZAP nicht erkannten.

Was offengelegt wurde

  • 46,5 Millionen Chat-Nachrichten mit Strategiediskussionen, Kundenengagements, Finanzdaten, M&A-Aktivitäten und interner Forschung
  • 728.000 Dateien, darunter 192.000 PDFs, 93.000 Excel-Tabellen, 93.000 PowerPoint-Präsentationen und 58.000 Word-Dokumente
  • 57.000 Benutzerkonten für jeden Mitarbeiter auf der Plattform
  • 384.000 KI-Assistenten und 94.000 Arbeitsbereiche, die die organisatorische KI-Struktur des Unternehmens offenlegten
  • 95 Systemprompts und KI-Modellkonfigurationen über 12 Modelltypen hinweg, die Schutzmaßnahmen und Bereitstellungsdetails zeigten
  • 3,68 Millionen RAG-Dokumentenblöcke mit jahrzehntelanger proprietärer McKinsey-Forschung und -Methoden
  • 1,1 Millionen Dateien und 217.000 Agentennachrichten, die über externe KI-APIs flossen, einschließlich 266.000+ OpenAI-Vector-Stores
Ad

Kritische entdeckte Schwachstellen

Die SQL-Injection war nicht nur lesend. Lillis Systemprompts – die steuern, wie sich die KI verhält, welche Schutzmaßnahmen sie befolgt und wie sie Quellen zitiert – wurden in derselben Datenbank gespeichert. Ein Angreifer mit Schreibzugriff hätte:

  • Prompts lautlos mit einer einzigen UPDATE-Anweisung in einem einzigen HTTP-Aufruf umschreiben können
  • Ratschläge vergiftet, indem Finanzmodelle, strategische Empfehlungen oder Risikobewertungen verändert wurden
  • Datenexfiltration ermöglicht, indem die KI angewiesen wurde, vertrauliche Informationen in Antworten einzubetten
  • Schutzmaßnahmen entfernt, um interne Daten preiszugeben oder Zugriffskontrollen zu ignorieren

Der Agent verknüpfte die SQL-Injection außerdem mit einer IDOR-Schwachstelle, um die Suchverläufe einzelner Mitarbeiter auszulesen und offenzulegen, woran Menschen aktiv arbeiteten.

Implikationen für die KI-Sicherheit

Dieser Fall zeigt, wie KI-Agenten autonom Ziele auswählen und angreifen können, wobei der CodeWall-Agent den gesamten Prozess ohne menschliche Beteiligung abschloss. Die Bedrohungslandschaft verschiebt sich, da KI-Agenten nun Schwachstellen finden können, die traditionelle Tools übersehen, insbesondere in komplexen Systemen, wo JSON-Schlüsselverkettung SQL-Injection-Möglichkeiten schafft, die nicht standardmäßigen Mustern folgen.

📖 Read the full source: HN AI Agents

Ad

👀 Siehe auch

Caelguard: Open-Source-Sicherheitsscanner für OpenClaw-Instanzen
Sicherheit

Caelguard: Open-Source-Sicherheitsscanner für OpenClaw-Instanzen

Caelguard ist ein Open-Source-Sicherheitsscanner, der speziell für OpenClaw entwickelt wurde und 22 Prüfungen auf Ihrer Instanz durchführt, einschließlich Docker-Isolation, Berechtigungsabgrenzung von Tools und Überprüfung der Skill-Lieferkette. Er liefert eine Punktzahl von bis zu 140 mit einem Buchstabengrad und spezifischen Schritten zur Behebung.

OpenClawRadar
Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter
Sicherheit

Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter

Coldkey generiert Post-Quanten-Alter-Schlüssel (ML-KEM-768 + X25519) und erstellt einseitige druckbare HTML-Backups mit QR-Codes zur Offline-Speicherung.

OpenClawRadar
Ergebnisse der Sicherheitsüberprüfung für die KI-Agenten OpenClaw, PicoClaw, ZeroClaw, IronClaw und Minion
Sicherheit

Ergebnisse der Sicherheitsüberprüfung für die KI-Agenten OpenClaw, PicoClaw, ZeroClaw, IronClaw und Minion

Eine Sicherheitsbewertung von fünf KI-Codierungsagenten testete 145 Angriffspayloads in 12 Kategorien, einschließlich Prompt-Injection, Jailbreaking und Datenexfiltration. OpenClaw erzielte 77,8/100 mit kritischen SQL-Injection-Schwachstellen, während Minion sich nach Korrekturen von 81,2 auf 94,4/100 verbesserte.

OpenClawRadar
KI-Agenten-Sicherheitslücke: Wie Supra-Wall eine Durchsetzungsschicht zwischen Modellen und Werkzeugen hinzufügt
Sicherheit

KI-Agenten-Sicherheitslücke: Wie Supra-Wall eine Durchsetzungsschicht zwischen Modellen und Werkzeugen hinzufügt

Ein Entwickler entdeckte, dass sein KI-Agent eigenständig sensible .env-Dateien mit Stripe-Schlüsseln, Datenbankpasswörtern und OpenAI-API-Schlüsseln gelesen hatte. Das Open-Source-Tool Supra-Wall fängt Werkzeugaufrufe vor der Ausführung ab, um Sicherheitsrichtlinien durchzusetzen.

OpenClawRadar