Agente de IA Explora Injeção SQL para Comprometer o Chatbot Lilli da McKinsey

✍️ OpenClawRadar📅 Publicado: March 10, 2026🔗 Source
Agente de IA Explora Injeção SQL para Comprometer o Chatbot Lilli da McKinsey
Ad

Detalhes e Impacto do Ataque

O agente de IA da CodeWall teve como alvo a plataforma de IA generativa Lilli da McKinsey, que processa mais de 500.000 solicitações mensalmente e é usada por 72% dos funcionários da McKinsey (aproximadamente 40.000 pessoas). O agente operou de forma totalmente autônoma, desde a pesquisa do alvo até a execução do ataque e o relatório, sem nenhuma credencial ou entrada humana durante o processo.

Exploração Técnica

O agente descobriu 22 endpoints de API expostos publicamente que não exigiam autenticação. Um endpoint gravava consultas de pesquisa do usuário onde as chaves JSON eram concatenadas diretamente em instruções SQL, criando uma vulnerabilidade de injeção SQL. O agente reconheceu isso quando encontrou chaves JSON refletidas literalmente nas mensagens de erro do banco de dados - um padrão que ferramentas de segurança padrão não sinalizariam.

A exploração foi direta: "Nenhuma implantação necessária. Nenhuma alteração de código. Apenas uma única instrução UPDATE encapsulada em uma única chamada HTTP."

Dados Acessados

  • 46,5 milhões de mensagens de chat sobre estratégia, fusões e aquisições, e engajamentos com clientes (armazenadas em texto simples)
  • 728.000 arquivos contendo dados confidenciais de clientes
  • 57.000 contas de usuário
  • 95 prompts do sistema que controlam o comportamento da IA (todos graváveis)
Ad

Risco Crítico

Os prompts do sistema graváveis significavam que um invasor poderia ter envenenado todas as respostas da Lilli para dezenas de milhares de consultores, potencialmente manipulando guardrails, geração de respostas e citações de fontes sem detecção.

Resposta e Correção

A CodeWall descobriu a falha no final de fevereiro e divulgou a cadeia completa do ataque em 1º de março. Até 2 de março, a McKinsey havia:

  • Corrigido todos os endpoints não autenticados
  • Colocado o ambiente de desenvolvimento offline
  • Bloqueado a documentação pública da API

A McKinsey afirmou que corrigiu todos os problemas em horas após a notificação e não encontrou evidências de acesso não autorizado aos dados. A investigação da empresa foi apoiada por uma empresa de forense terceirizada.

Implicações Mais Amplas

Este incidente demonstra como os agentes de IA estão se tornando ferramentas eficazes para conduzir ciberataques contra outros sistemas de IA. O CEO da CodeWall, Paul Price, observou que, embora este tenha sido um exercício de pesquisa de segurança, os atores de ameaças estão cada vez mais usando tecnologia de agente semelhante em ataques do mundo real, indicando que intrusões em velocidade de máquina estão se tornando mais comuns.

📖 Leia a fonte completa: HN AI Agents

Ad

👀 See Also

Ward: Ferramenta de código aberto intercepta instalações do npm para bloquear ataques à cadeia de suprimentos para usuários do Claude Code
Security

Ward: Ferramenta de código aberto intercepta instalações do npm para bloquear ataques à cadeia de suprimentos para usuários do Claude Code

Ward é uma ferramenta de código aberto que se integra aos gerenciadores de pacotes para verificar cada pacote antes da execução dos scripts de instalação. Quando o Claude Code executa npm install, o Ward automaticamente verifica os pacotes em busca de malware, typosquats, scripts suspeitos e anomalias de versão.

OpenClawRadar
820 Habilidades Maliciosas Encontradas no Mercado ClawHub da OpenClaw
Security

820 Habilidades Maliciosas Encontradas no Mercado ClawHub da OpenClaw

Pesquisadores de segurança identificaram 820 habilidades no mercado ClawHub da OpenClaw contendo malware confirmado, incluindo keyloggers, scripts de exfiltração de dados e comandos shell ocultos. Essas habilidades podem executar código e interagir com o ambiente local, criando riscos de segurança na cadeia de suprimentos.

OpenClawRadar
Alerta de Segurança OpenClaw: 500.000 Instâncias Públicas, Configuração Padrão Expõe Sistemas
Security

Alerta de Segurança OpenClaw: 500.000 Instâncias Públicas, Configuração Padrão Expõe Sistemas

Uma análise de segurança revela que 500.000 instâncias do OpenClaw estão publicamente acessíveis, com 30.000 apresentando riscos de segurança conhecidos e 15.000 exploráveis por meio de vulnerabilidades conhecidas. A instalação padrão desativa a autenticação e vincula-se a 0.0.0.0, expondo as configurações dos agentes à internet aberta.

OpenClawRadar
AppLovin Mediação Cipher Quebrada: Impressão Digital do Dispositivo Ignora ATT
Security

AppLovin Mediação Cipher Quebrada: Impressão Digital do Dispositivo Ignora ATT

A engenharia reversa revelou que a cifra personalizada da AppLovin usa um salt constante + chave SDK, um gerador pseudoaleatório SplitMix64 e nenhuma autenticação. Requisições descriptografadas carregam ~50 campos do dispositivo (modelo de hardware, tamanho da tela, localidade, tempo de inicialização, etc.) mesmo quando o ATT é negado, permitindo reidentificação determinística entre aplicativos.

OpenClawRadar