Agente de IA CodeWall Descobre Vulnerabilidades Críticas na Plataforma Lilli da McKinsey

Como o Ataque se Desenrolou

O agente de pesquisa da CodeWall selecionou autonomamente a McKinsey como alvo com base em sua política pública de divulgação responsável e atualizações recentes da plataforma Lilli. Começando apenas com o nome de domínio e sem credenciais, o agente mapeou a superfície de ataque e encontrou documentação de API exposta publicamente com mais de 200 endpoints.

Vinte e dois endpoints não exigiam autenticação. Um endpoint desprotegido gravava consultas de pesquisa dos usuários no banco de dados com chaves JSON concatenadas diretamente em instruções SQL. O agente reconheceu a injeção de SQL quando encontrou chaves JSON refletidas literalmente nas mensagens de erro do banco de dados — uma vulnerabilidade que ferramentas padrão como OWASP ZAP não sinalizaram.

O que Foi Exposto

• 46,5 milhões de mensagens de chat contendo discussões estratégicas, engajamentos com clientes, informações financeiras, atividades de fusões e aquisições e pesquisas internas
• 728.000 arquivos incluindo 192.000 PDFs, 93.000 planilhas Excel, 93.000 apresentações PowerPoint e 58.000 documentos Word
• 57.000 contas de usuário para todos os funcionários da plataforma
• 384.000 assistentes de IA e 94.000 espaços de trabalho revelando a estrutura organizacional de IA da empresa
• 95 prompts de sistema e configurações de modelos de IA em 12 tipos de modelos, mostrando proteções e detalhes de implantação
• 3,68 milhões de fragmentos de documentos RAG contendo décadas de pesquisa e metodologias proprietárias da McKinsey
• 1,1 milhão de arquivos e 217.000 mensagens de agentes fluindo por APIs de IA externas, incluindo mais de 266.000 armazenamentos vetoriais da OpenAI

Vulnerabilidades Críticas Descobertas

A injeção de SQL não era apenas de leitura. Os prompts de sistema da Lilli — que controlam como a IA se comporta, quais proteções ela segue e como cita fontes — estavam armazenados no mesmo banco de dados. Um atacante com acesso de gravação poderia ter:

• Reescrito prompts silenciosamente com uma única instrução UPDATE encapsulada em uma única chamada HTTP
• Envenenado conselhos alterando modelos financeiros, recomendações estratégicas ou avaliações de risco
• Habilitado exfiltração de dados instruindo a IA a incorporar informações confidenciais em respostas
• Removido proteções para divulgar dados internos ou ignorar controles de acesso

O agente também encadeou a injeção de SQL com uma vulnerabilidade IDOR para ler os históricos de pesquisa de funcionários individuais, revelando em que as pessoas estavam trabalhando ativamente.

Implicações para a Segurança de IA

Este caso demonstra como agentes de IA podem selecionar e atacar alvos autonomamente, com o agente da CodeWall completando todo o processo sem intervenção humana. O cenário de ameaças está mudando, pois agentes de IA agora podem encontrar vulnerabilidades que ferramentas tradicionais perdem, especialmente em sistemas complexos onde a concatenação de chaves JSON cria oportunidades de injeção SQL que não seguem padrões padrão.