El Agente de IA de CodeWall Descubre Vulnerabilidades Críticas en la Plataforma Lilli de McKinsey

Cómo se desarrolló el ataque
El agente de investigación de CodeWall seleccionó autónomamente a McKinsey como objetivo basándose en su política pública de divulgación responsable y las recientes actualizaciones de la plataforma Lilli. Comenzando solo con el nombre de dominio y sin credenciales, el agente mapeó la superficie de ataque y encontró documentación de API expuesta públicamente con más de 200 endpoints.
Veintidós endpoints no requerían autenticación. Un endpoint desprotegido escribía las consultas de búsqueda de usuarios en la base de datos con claves JSON concatenadas directamente en las sentencias SQL. El agente reconoció la inyección SQL cuando encontró claves JSON reflejadas textualmente en los mensajes de error de la base de datos — una vulnerabilidad que herramientas estándar como OWASP ZAP no marcaron.
Lo que se expuso
- 46.5 millones de mensajes de chat que contenían discusiones estratégicas, compromisos con clientes, información financiera, actividad de fusiones y adquisiciones, e investigación interna
- 728,000 archivos incluyendo 192,000 PDFs, 93,000 hojas de cálculo de Excel, 93,000 presentaciones de PowerPoint y 58,000 documentos de Word
- 57,000 cuentas de usuario para cada empleado en la plataforma
- 384,000 asistentes de IA y 94,000 espacios de trabajo que revelaban la estructura organizativa de IA de la firma
- 95 indicaciones del sistema y configuraciones de modelos de IA en 12 tipos de modelos, mostrando salvaguardas y detalles de implementación
- 3.68 millones de fragmentos de documentos RAG que contenían décadas de investigación y metodologías propietarias de McKinsey
- 1.1 millones de archivos y 217,000 mensajes de agentes fluyendo a través de APIs de IA externas, incluyendo más de 266,000 almacenes vectoriales de OpenAI
Vulnerabilidades críticas descubiertas
La inyección SQL no era de solo lectura. Las indicaciones del sistema de Lilli — que controlan cómo se comporta la IA, qué salvaguardas sigue y cómo cita fuentes — estaban almacenadas en la misma base de datos. Un atacante con acceso de escritura podría haber:
- Reescrito indicaciones silenciosamente con una sola sentencia UPDATE envuelta en una única llamada HTTP
- Envenenado consejos alterando modelos financieros, recomendaciones estratégicas o evaluaciones de riesgo
- Habilitado la exfiltración de datos instruyendo a la IA para incrustar información confidencial en las respuestas
- Eliminado salvaguardas para divulgar datos internos o ignorar controles de acceso
El agente también encadenó la inyección SQL con una vulnerabilidad IDOR para leer los historiales de búsqueda individuales de empleados, revelando en qué estaban trabajando activamente las personas.
Implicaciones para la seguridad de la IA
Este caso demuestra cómo los agentes de IA pueden seleccionar y atacar objetivos autónomamente, con el agente de CodeWall completando todo el proceso sin intervención humana. El panorama de amenazas está cambiando ya que los agentes de IA ahora pueden encontrar vulnerabilidades que las herramientas tradicionales pasan por alto, particularmente en sistemas complejos donde la concatenación de claves JSON crea oportunidades de inyección SQL que no siguen patrones estándar.
📖 Read the full source: HN AI Agents
👀 Ver también

Audite sus permisos de Claude Code: una guía práctica para limitar el acceso a herramientas
Un usuario de Reddit auditó su configuración de Claude Code y encontró herramientas con permisos excesivos que podían editar archivos .env y configuraciones de producción. Pasos prácticos: auditar herramientas globales vs. por proyecto, revisar CLAUDE.md en busca de secretos y delimitar el acceso a archivos por directorio.

Claude Code continúa registrando sesiones después de la revocación, usuarios reportan silencio de soporte de 2 semanas
Un usuario de Claude Code informa que los registros de sesión continuaron apareciendo después de revocar el acceso, con el soporte de Anthropic sin respuesta durante dos semanas. Los registros incluían alcances como user:file_upload, user:ccr_inference y user:sessions:claude_code.

Vulnerabilidad de Ejecución de Código Remoto en la Aplicación Bloc de Notas de Windows CVE-2026-20841
CVE-2026-20841 es una vulnerabilidad de ejecución remota de código en la aplicación Notepad de Windows. Los detalles y los pasos de mitigación están disponibles en la guía de actualización del Centro de Respuesta de Seguridad de Microsoft.

Endo Familiar: Entorno Aislado de Capacidad de Objetos para Agentes de IA
Endo Familiar implementa seguridad de capacidades de objetos para agentes de IA: los agentes comienzan con cero autoridad ambiental, reciben solo referencias explícitas a archivos o directorios específicos, y pueden derivar capacidades más restringidas en código sandbox.