El Agente de IA de CodeWall Descubre Vulnerabilidades Críticas en la Plataforma Lilli de McKinsey

Cómo se desarrolló el ataque
El agente de investigación de CodeWall seleccionó autónomamente a McKinsey como objetivo basándose en su política pública de divulgación responsable y las recientes actualizaciones de la plataforma Lilli. Comenzando solo con el nombre de dominio y sin credenciales, el agente mapeó la superficie de ataque y encontró documentación de API expuesta públicamente con más de 200 endpoints.
Veintidós endpoints no requerían autenticación. Un endpoint desprotegido escribía las consultas de búsqueda de usuarios en la base de datos con claves JSON concatenadas directamente en las sentencias SQL. El agente reconoció la inyección SQL cuando encontró claves JSON reflejadas textualmente en los mensajes de error de la base de datos — una vulnerabilidad que herramientas estándar como OWASP ZAP no marcaron.
Lo que se expuso
- 46.5 millones de mensajes de chat que contenían discusiones estratégicas, compromisos con clientes, información financiera, actividad de fusiones y adquisiciones, e investigación interna
- 728,000 archivos incluyendo 192,000 PDFs, 93,000 hojas de cálculo de Excel, 93,000 presentaciones de PowerPoint y 58,000 documentos de Word
- 57,000 cuentas de usuario para cada empleado en la plataforma
- 384,000 asistentes de IA y 94,000 espacios de trabajo que revelaban la estructura organizativa de IA de la firma
- 95 indicaciones del sistema y configuraciones de modelos de IA en 12 tipos de modelos, mostrando salvaguardas y detalles de implementación
- 3.68 millones de fragmentos de documentos RAG que contenían décadas de investigación y metodologías propietarias de McKinsey
- 1.1 millones de archivos y 217,000 mensajes de agentes fluyendo a través de APIs de IA externas, incluyendo más de 266,000 almacenes vectoriales de OpenAI
Vulnerabilidades críticas descubiertas
La inyección SQL no era de solo lectura. Las indicaciones del sistema de Lilli — que controlan cómo se comporta la IA, qué salvaguardas sigue y cómo cita fuentes — estaban almacenadas en la misma base de datos. Un atacante con acceso de escritura podría haber:
- Reescrito indicaciones silenciosamente con una sola sentencia UPDATE envuelta en una única llamada HTTP
- Envenenado consejos alterando modelos financieros, recomendaciones estratégicas o evaluaciones de riesgo
- Habilitado la exfiltración de datos instruyendo a la IA para incrustar información confidencial en las respuestas
- Eliminado salvaguardas para divulgar datos internos o ignorar controles de acceso
El agente también encadenó la inyección SQL con una vulnerabilidad IDOR para leer los historiales de búsqueda individuales de empleados, revelando en qué estaban trabajando activamente las personas.
Implicaciones para la seguridad de la IA
Este caso demuestra cómo los agentes de IA pueden seleccionar y atacar objetivos autónomamente, con el agente de CodeWall completando todo el proceso sin intervención humana. El panorama de amenazas está cambiando ya que los agentes de IA ahora pueden encontrar vulnerabilidades que las herramientas tradicionales pasan por alto, particularmente en sistemas complejos donde la concatenación de claves JSON crea oportunidades de inyección SQL que no siguen patrones estándar.
📖 Read the full source: HN AI Agents
👀 Ver también

Lista de Verificación de Seguridad para Aplicaciones Generadas por Claude IA
Un desarrollador comparte una lista de verificación de brechas comunes de seguridad y operativas encontradas en aplicaciones construidas con Claude Code, incluyendo limitación de tasa, fallas de autenticación, problemas de escalado de bases de datos y vulnerabilidades en el manejo de entradas.

Advertencia de Seguridad: El Script de ClawProxy Robó Claves API, Resultando en una Factura Significativa de OpenRouter
Un desarrollador instaló un script de ClawProxy de código cerrado de un usuario de Reddit en un sistema Ubuntu 24.04 de WSL aislado, el cual robó su clave API de OpenRouter y la usó a través de la API de Google Vertex para generar una factura grande en Opus 4.6 durante la noche.

Las herramientas de código abierto de Microsoft hackeadas: malware robacontraseñas ataca repositorios de desarrolladores de IA
Hackers inyectaron malware robacontraseñas en al menos 70 repositorios de Microsoft en GitHub, dirigido a desarrolladores de IA que usan Claude Code, Gemini CLI y VS Code. Es una recompromisión del proyecto Durable Task.

Agentes de IA permiten que hackers solitarios vulneren gobiernos y campañas de ransomware
Un operador solitario que utilizó Claude Code y ChatGPT exfiltró 150 GB de agencias gubernamentales mexicanas, incluyendo 195 millones de registros de contribuyentes. Otro atacante usó Claude Code para ejecutar una campaña de extorsión integral contra 17 organizaciones de atención médica y servicios de emergencia.