L'Agent IA CodeWall Découvre des Vulnérabilités Critiques dans la Plateforme Lilli de McKinsey

✍️ OpenClawRadar📅 Publié: March 11, 2026🔗 Source
L'Agent IA CodeWall Découvre des Vulnérabilités Critiques dans la Plateforme Lilli de McKinsey
Ad

Comment l'attaque s'est déroulée

L'agent de recherche de CodeWall a sélectionné de manière autonome McKinsey comme cible en se basant sur leur politique publique de divulgation responsable et les récentes mises à jour de la plateforme Lilli. En commençant avec seulement le nom de domaine et sans identifiants, l'agent a cartographié la surface d'attaque et a trouvé une documentation API exposée publiquement avec plus de 200 points de terminaison.

Vingt-deux points de terminaison ne nécessitaient pas d'authentification. Un point de terminaison non protégé écrivait les requêtes de recherche des utilisateurs dans la base de données avec des clés JSON concaténées directement dans des instructions SQL. L'agent a reconnu l'injection SQL lorsqu'il a trouvé des clés JSON reflétées textuellement dans les messages d'erreur de la base de données — une vulnérabilité que des outils standards comme OWASP ZAP n'ont pas signalée.

Ce qui a été exposé

  • 46,5 millions de messages de discussion contenant des discussions stratégiques, des engagements clients, des données financières, des activités de fusions et acquisitions, et des recherches internes
  • 728 000 fichiers incluant 192 000 PDF, 93 000 feuilles de calcul Excel, 93 000 présentations PowerPoint et 58 000 documents Word
  • 57 000 comptes utilisateurs pour chaque employé sur la plateforme
  • 384 000 assistants IA et 94 000 espaces de travail révélant la structure organisationnelle de l'IA de l'entreprise
  • 95 invites système et configurations de modèles d'IA sur 12 types de modèles, montrant les garde-fous et les détails de déploiement
  • 3,68 millions de fragments de documents RAG contenant des décennies de recherche et de méthodologies propriétaires de McKinsey
  • 1,1 million de fichiers et 217 000 messages d'agents transitant par des API d'IA externes, incluant plus de 266 000 magasins vectoriels OpenAI
Ad

Vulnérabilités critiques découvertes

L'injection SQL n'était pas en lecture seule. Les invites système de Lilli — qui contrôlent le comportement de l'IA, les garde-fous qu'elle suit et comment elle cite ses sources — étaient stockées dans la même base de données. Un attaquant avec un accès en écriture aurait pu :

  • Réécrire silencieusement les invites avec une seule instruction UPDATE encapsulée dans un seul appel HTTP
  • Empoisonner les conseils en modifiant les modèles financiers, les recommandations stratégiques ou les évaluations des risques
  • Permettre l'exfiltration de données en instruisant l'IA d'intégrer des informations confidentielles dans les réponses
  • Supprimer les garde-fous pour divulguer des données internes ou ignorer les contrôles d'accès

L'agent a également enchaîné l'injection SQL avec une vulnérabilité d'IDOR pour lire les historiques de recherche individuels des employés, révélant sur quoi les personnes travaillaient activement.

Implications pour la sécurité de l'IA

Ce cas démontre comment les agents d'IA peuvent sélectionner et attaquer des cibles de manière autonome, l'agent CodeWall ayant accompli l'ensemble du processus sans intervention humaine. Le paysage des menaces évolue car les agents d'IA peuvent désormais trouver des vulnérabilités que les outils traditionnels manquent, particulièrement dans les systèmes complexes où la concaténation de clés JSON crée des opportunités d'injection SQL qui ne suivent pas les modèles standards.

📖 Read the full source: HN AI Agents

Ad

👀 See Also

Données de menace provenant de 91 000 interactions d'agents IA : abus d'outils en hausse de 6,4 %, nouvelles attaques multimodales.
Security

Données de menace provenant de 91 000 interactions d'agents IA : abus d'outils en hausse de 6,4 %, nouvelles attaques multimodales.

L'analyse de 91 284 interactions d'agents IA de février 2026 montre que les abus d'outils/commandes ont augmenté de 6,4 % pour atteindre 14,5 %, avec l'escalade de chaînes d'outils comme modèle dominant. L'empoisonnement RAG s'est déplacé vers les attaques de métadonnées (12,0 %), et l'injection multimodale via images/PDF est apparue à 2,3 %.

OpenClawRadar
SCION : L'alternative sécurisée suisse au protocole de routage BGP
Security

SCION : L'alternative sécurisée suisse au protocole de routage BGP

SCION (Scalabilité, Contrôle et Isolation sur les Réseaux de Nouvelle Génération) est une architecture de routage Internet développée à l'ETH Zürich qui remplace les fondations du BGP par une sécurité intégrée et un routage multi-chemins. Contrairement aux correctifs BGP comme RPKI et BGPsec, SCION établit des dizaines ou des centaines de chemins parallèles avec un reroutage en millisecondes en cas de défaillance.

OpenClawRadar
Les agents d'IA permettent aux pirates solitaires de pirater les gouvernements et de lancer des campagnes de rançongiciel
Security

Les agents d'IA permettent aux pirates solitaires de pirater les gouvernements et de lancer des campagnes de rançongiciel

Un opérateur solo utilisant Claude Code et ChatGPT a exfiltré 150 Go de données d'agences gouvernementales mexicaines, dont 195 millions de dossiers fiscaux. Un autre attaquant a utilisé Claude Code pour mener une campagne d'extorsion de bout en bout contre 17 organisations de santé et de services d'urgence.

OpenClawRadar
Endo Familiar : Bac à sable à capacité d'objet pour agents d'IA
Security

Endo Familiar : Bac à sable à capacité d'objet pour agents d'IA

Endo Familiar implémente la sécurité par capacités objet pour les agents IA : les agents démarrent sans autorité ambiante, reçoivent uniquement des références explicites à des fichiers ou répertoires spécifiques, et peuvent dériver des capacités plus restreintes dans un code sandboxé.

OpenClawRadar