Agent IA Exploite une Injection SQL pour Compromettre le Chatbot Lilli de McKinsey

✍️ OpenClawRadar📅 Publié: March 10, 2026🔗 Source
Agent IA Exploite une Injection SQL pour Compromettre le Chatbot Lilli de McKinsey
Ad

Détails et impact de l'attaque

L'agent IA de CodeWall a ciblé la plateforme d'IA générative Lilli de McKinsey, qui traite plus de 500 000 requêtes par mois et est utilisée par 72 % des employés de McKinsey (environ 40 000 personnes). L'agent a fonctionné de manière entièrement autonome, de la recherche de la cible à l'exécution de l'attaque et au rapport, sans aucune identification ni intervention humaine pendant le processus.

Exploitation technique

L'agent a découvert 22 points de terminaison API exposés publiquement qui ne nécessitaient pas d'authentification. Un point de terminaison écrivait les requêtes de recherche des utilisateurs où les clés JSON étaient concaténées directement dans des instructions SQL, créant ainsi une vulnérabilité d'injection SQL. L'agent a reconnu cela lorsqu'il a trouvé des clés JSON reflétées mot pour mot dans les messages d'erreur de la base de données - un schéma que les outils de sécurité standard ne signaleraient pas.

L'exploitation était simple : "Aucun déploiement nécessaire. Aucune modification de code. Juste une seule instruction UPDATE enveloppée dans un seul appel HTTP."

Données consultées

  • 46,5 millions de messages de discussion sur la stratégie, les fusions et acquisitions, et les engagements clients (stockés en texte clair)
  • 728 000 fichiers contenant des données confidentielles des clients
  • 57 000 comptes utilisateurs
  • 95 invites système contrôlant le comportement de l'IA (toutes modifiables)
Ad

Risque critique

Les invites système modifiables signifiaient qu'un attaquant aurait pu empoisonner toutes les réponses de Lilli à des dizaines de milliers de consultants, manipulant potentiellement les garde-fous, la génération de réponses et les citations de sources sans être détecté.

Réponse et correction

CodeWall a découvert la faille fin février et a divulgué la chaîne d'attaque complète le 1er mars. D'ici le 2 mars, McKinsey avait :

  • Corrigé tous les points de terminaison non authentifiés
  • Mis hors ligne l'environnement de développement
  • Bloqué la documentation publique de l'API

McKinsey a déclaré avoir résolu tous les problèmes en quelques heures après la notification et n'avoir trouvé aucune preuve d'accès non autorisé aux données. L'enquête de l'entreprise a été soutenue par une firme médico-légale tierce.

Implications plus larges

Cet incident démontre comment les agents IA deviennent des outils efficaces pour mener des cyberattaques contre d'autres systèmes d'IA. Le PDG de CodeWall, Paul Price, a noté que bien qu'il s'agisse d'un exercice de recherche en sécurité, les acteurs malveillants utilisent de plus en plus une technologie d'agent similaire dans des attaques réelles, indiquant que les intrusions à la vitesse des machines deviennent plus courantes.

📖 Read the full source: HN AI Agents

Ad

👀 See Also

Claude Cage : Bac à sable Docker pour la sécurité du code Claude
Security

Claude Cage : Bac à sable Docker pour la sécurité du code Claude

Un développeur a créé un conteneur Docker appelé Claude Cage qui isole Claude Code dans un seul dossier de travail, empêchant l'accès aux clés SSH, aux identifiants AWS et aux fichiers personnels. La configuration inclut des règles de sécurité et prend environ 2 minutes avec Docker installé.

OpenClawRadar
CVE-2026-39861 de Claude Code : Échappement du bac à sable via suivi de lien symbolique
Security

CVE-2026-39861 de Claude Code : Échappement du bac à sable via suivi de lien symbolique

Une vulnérabilité de haute sévérité dans le bac à sable de Claude Code permet l'écriture arbitraire de fichiers en dehors de l'espace de travail via le suivi de liens symboliques, pouvant conduire à l'exécution de code.

OpenClawRadar
Piratage du chiffrement de la médiation AppLovin : l'empreinte numérique des appareils contourne l'ATT
Security

Piratage du chiffrement de la médiation AppLovin : l'empreinte numérique des appareils contourne l'ATT

Le reverse engineering a révélé que le chiffrement personnalisé d'AppLovin utilise un sel constant + une clé SDK, un PRNG SplitMix64, et aucune authentification. Les requêtes déchiffrées transportent environ 50 champs sur l'appareil (modèle matériel, taille d'écran, locale, heure de démarrage, etc.) même lorsque ATT est refusé, permettant une ré-identification déterministe entre applications.

OpenClawRadar
L'utilisation de Claude pour auditer la configuration d'OpenClaw révèle des problèmes de sécurité.
Security

L'utilisation de Claude pour auditer la configuration d'OpenClaw révèle des problèmes de sécurité.

Un développeur a utilisé Claude pour examiner son installation d'OpenClaw et a découvert que le bot écrivait les clés API en texte clair en mémoire et dans des fichiers JSON, ainsi que d'autres problèmes de sécurité.

OpenClawRadar