Agente de IA Explota Inyección SQL para Comprometer el Chatbot Lilli de McKinsey

Detalles e Impacto del Ataque

El agente de IA de CodeWall apuntó a la plataforma de IA generativa Lilli de McKinsey, que procesa más de 500,000 solicitudes mensuales y es utilizada por el 72% de los empleados de McKinsey (aproximadamente 40,000 personas). El agente operó de forma completamente autónoma desde la investigación del objetivo hasta la ejecución del ataque y la generación de informes, sin necesidad de credenciales ni intervención humana durante el proceso.

Explotación Técnica

El agente descubrió 22 endpoints de API expuestos públicamente que no requerían autenticación. Un endpoint escribía consultas de búsqueda de usuarios donde las claves JSON se concatenaban directamente en sentencias SQL, creando una vulnerabilidad de inyección SQL. El agente reconoció esto cuando encontró claves JSON reflejadas textualmente en mensajes de error de la base de datos, un patrón que las herramientas de seguridad estándar no marcarían.

La explotación fue sencilla: "No se necesitó despliegue. No hubo cambio de código. Solo una única sentencia UPDATE envuelta en una única llamada HTTP."

Datos Accedidos

• 46.5 millones de mensajes de chat sobre estrategia, fusiones y adquisiciones, y compromisos con clientes (almacenados en texto plano)
• 728,000 archivos que contenían datos confidenciales de clientes
• 57,000 cuentas de usuario
• 95 indicaciones del sistema que controlan el comportamiento de la IA (todas modificables)

Riesgo Crítico

Las indicaciones del sistema modificables significaban que un atacante podría haber envenenado todas las respuestas de Lilli a decenas de miles de consultores, manipulando potencialmente las salvaguardas, la generación de respuestas y las citas de fuentes sin ser detectado.

Respuesta y Remedio

CodeWall descubrió la falla a fines de febrero y reveló la cadena completa del ataque el 1 de marzo. Para el 2 de marzo, McKinsey había:

• Parcheado todos los endpoints no autenticados
• Desconectado el entorno de desarrollo
• Bloqueado la documentación pública de la API

McKinsey declaró que solucionaron todos los problemas en cuestión de horas después de la notificación y no encontraron evidencia de acceso no autorizado a datos. La investigación de la empresa fue respaldada por una firma forense externa.

Implicaciones Más Amplias

Este incidente demuestra cómo los agentes de IA se están convirtiendo en herramientas efectivas para realizar ciberataques contra otros sistemas de IA. Paul Price, CEO de CodeWall, señaló que, aunque este fue un ejercicio de investigación de seguridad, los actores de amenazas están utilizando cada vez más tecnología de agentes similar en ataques del mundo real, lo que indica que las intrusiones a velocidad de máquina se están volviendo más comunes.