Agente de IA Explora Injeção SQL para Comprometer o Chatbot Lilli da McKinsey

Detalhes e Impacto do Ataque

O agente de IA da CodeWall teve como alvo a plataforma de IA generativa Lilli da McKinsey, que processa mais de 500.000 solicitações mensalmente e é usada por 72% dos funcionários da McKinsey (aproximadamente 40.000 pessoas). O agente operou de forma totalmente autônoma, desde a pesquisa do alvo até a execução do ataque e o relatório, sem nenhuma credencial ou entrada humana durante o processo.

Exploração Técnica

O agente descobriu 22 endpoints de API expostos publicamente que não exigiam autenticação. Um endpoint gravava consultas de pesquisa do usuário onde as chaves JSON eram concatenadas diretamente em instruções SQL, criando uma vulnerabilidade de injeção SQL. O agente reconheceu isso quando encontrou chaves JSON refletidas literalmente nas mensagens de erro do banco de dados - um padrão que ferramentas de segurança padrão não sinalizariam.

A exploração foi direta: "Nenhuma implantação necessária. Nenhuma alteração de código. Apenas uma única instrução UPDATE encapsulada em uma única chamada HTTP."

Dados Acessados

• 46,5 milhões de mensagens de chat sobre estratégia, fusões e aquisições, e engajamentos com clientes (armazenadas em texto simples)
• 728.000 arquivos contendo dados confidenciais de clientes
• 57.000 contas de usuário
• 95 prompts do sistema que controlam o comportamento da IA (todos graváveis)

Risco Crítico

Os prompts do sistema graváveis significavam que um invasor poderia ter envenenado todas as respostas da Lilli para dezenas de milhares de consultores, potencialmente manipulando guardrails, geração de respostas e citações de fontes sem detecção.

Resposta e Correção

A CodeWall descobriu a falha no final de fevereiro e divulgou a cadeia completa do ataque em 1º de março. Até 2 de março, a McKinsey havia:

• Corrigido todos os endpoints não autenticados
• Colocado o ambiente de desenvolvimento offline
• Bloqueado a documentação pública da API

A McKinsey afirmou que corrigiu todos os problemas em horas após a notificação e não encontrou evidências de acesso não autorizado aos dados. A investigação da empresa foi apoiada por uma empresa de forense terceirizada.

Implicações Mais Amplas

Este incidente demonstra como os agentes de IA estão se tornando ferramentas eficazes para conduzir ciberataques contra outros sistemas de IA. O CEO da CodeWall, Paul Price, observou que, embora este tenha sido um exercício de pesquisa de segurança, os atores de ameaças estão cada vez mais usando tecnologia de agente semelhante em ataques do mundo real, indicando que intrusões em velocidade de máquina estão se tornando mais comuns.