El Agente de IA de CodeWall Descubre Vulnerabilidades Críticas en la Plataforma Lilli de McKinsey

Cómo se desarrolló el ataque

El agente de investigación de CodeWall seleccionó autónomamente a McKinsey como objetivo basándose en su política pública de divulgación responsable y las recientes actualizaciones de la plataforma Lilli. Comenzando solo con el nombre de dominio y sin credenciales, el agente mapeó la superficie de ataque y encontró documentación de API expuesta públicamente con más de 200 endpoints.

Veintidós endpoints no requerían autenticación. Un endpoint desprotegido escribía las consultas de búsqueda de usuarios en la base de datos con claves JSON concatenadas directamente en las sentencias SQL. El agente reconoció la inyección SQL cuando encontró claves JSON reflejadas textualmente en los mensajes de error de la base de datos — una vulnerabilidad que herramientas estándar como OWASP ZAP no marcaron.

Lo que se expuso

• 46.5 millones de mensajes de chat que contenían discusiones estratégicas, compromisos con clientes, información financiera, actividad de fusiones y adquisiciones, e investigación interna
• 728,000 archivos incluyendo 192,000 PDFs, 93,000 hojas de cálculo de Excel, 93,000 presentaciones de PowerPoint y 58,000 documentos de Word
• 57,000 cuentas de usuario para cada empleado en la plataforma
• 384,000 asistentes de IA y 94,000 espacios de trabajo que revelaban la estructura organizativa de IA de la firma
• 95 indicaciones del sistema y configuraciones de modelos de IA en 12 tipos de modelos, mostrando salvaguardas y detalles de implementación
• 3.68 millones de fragmentos de documentos RAG que contenían décadas de investigación y metodologías propietarias de McKinsey
• 1.1 millones de archivos y 217,000 mensajes de agentes fluyendo a través de APIs de IA externas, incluyendo más de 266,000 almacenes vectoriales de OpenAI

Vulnerabilidades críticas descubiertas

La inyección SQL no era de solo lectura. Las indicaciones del sistema de Lilli — que controlan cómo se comporta la IA, qué salvaguardas sigue y cómo cita fuentes — estaban almacenadas en la misma base de datos. Un atacante con acceso de escritura podría haber:

• Reescrito indicaciones silenciosamente con una sola sentencia UPDATE envuelta en una única llamada HTTP
• Envenenado consejos alterando modelos financieros, recomendaciones estratégicas o evaluaciones de riesgo
• Habilitado la exfiltración de datos instruyendo a la IA para incrustar información confidencial en las respuestas
• Eliminado salvaguardas para divulgar datos internos o ignorar controles de acceso

El agente también encadenó la inyección SQL con una vulnerabilidad IDOR para leer los historiales de búsqueda individuales de empleados, revelando en qué estaban trabajando activamente las personas.

Implicaciones para la seguridad de la IA

Este caso demuestra cómo los agentes de IA pueden seleccionar y atacar objetivos autónomamente, con el agente de CodeWall completando todo el proceso sin intervención humana. El panorama de amenazas está cambiando ya que los agentes de IA ahora pueden encontrar vulnerabilidades que las herramientas tradicionales pasan por alto, particularmente en sistemas complejos donde la concatenación de claves JSON crea oportunidades de inyección SQL que no siguen patrones estándar.