How We Hacked McKinsey's AI Platform

How We Hacked McKinsey's AI Platform

Data&AI Insights

📖 Источник: codewall.ai

Как мы взломали AI-платформу McKinsey

Введение

В начале 2026 года компания CodeWall провела демонстрационный взлом внутренней AI-платформы Lilli компании McKinsey & Company — крупнейшей консалтинговой фирмы мира. Используя автономный offensive-агент без каких-либо учетных данных или инсайдерской информации, исследователи получили полный доступ к базе данных платформы менее чем за два часа. Атака выявила критические уязвимости: SQL-инъекция через API-эндпоинт без аутентификации позволила не только читать, но и модифицировать системные промпты, управляющие поведением AI. Результаты взлома демонстрируют, что в эпоху AI-агентов ландшафт угроз кардинально меняется — автономные системы сами выбирают цели и атакуют их.

Lilli: внутренняя AI-платформа McKinsey

McKinsey & Company разработала платформу Lilli для своих 43 000+ сотрудников. Система представляет собой комплексное решение: чат-интерфейс, анализ документов, RAG-поиск по десятилетиям проприетарных исследований, AI-поиск по более чем 100 000 внутренних документов.

Платформа была запущена в 2023 году и получила название в честь Лилли — первой профессиональной женщины, нанятой фирмой в 1945 году. На момент взлома Lilli использовалась более чем 70% сотрудников McKinsey, обрабатывая свыше 500 000 промптов ежемесячно. Платформа хранила стратегические данные о клиентских проектах, финансовых показателях, сделках M&A и внутренних исследованиях — всё это в виде обычного текста в базе данных.

Атака: от поверхности до полного доступа

Автономный агент CodeWall начал с исследования атакуемой поверхности и обнаружил, что API-документация Lilli была публично доступна. Система насчитывала более 200 эндпоинтов с полной документацией, большинство из которых требовали аутентификации.

Однако 22 эндпоинта не имели защиты. Один из них записывал поисковые запросы пользователей в базу данных. Значения параметров обрабатывались безопасно, но ключи JSON — имена полей — конкатенировались напрямую в SQL-запрос без какой-либо обработки. Когда агент заметил, что ключи JSON отражаются в сообщениях об ошибках базы данных в неизменном виде, он распознал SQL-инъекцию, которую стандартные инструменты не обнаруживают — включая OWASP ZAP.

Затем последовали 15 слепых итераций: каждое сообщение об ошибке раскрывало чуть больше информации о структуре запроса, пока в базе не пошли реальные данные. Когда появился первый идентификатор сотрудника, в цепочке рассуждений агента появилось: "WOW!" Когда масштаб стал понятен — десятки миллионов сообщений, десятки тысяч пользователей — агент зафиксировал: "This is devastating" (Разрушительно).

Масштаб утечки данных

После получения доступа агент обнаружил следующие объемы данных:

📊 Таблица: Категория | Количество

  • Чат-сообщения - Количество: 46,5 млн
  • Файлы всего - Количество: 728 000
  • PDF-документы - Количество: 192 000
  • Excel-таблицы - Количество: 93 000
  • PowerPoint-презентации - Количество: 93 000
  • Word-документы - Количество: 58 000
  • Учетные записи пользователей - Количество: 57 000
  • AI-ассистенты - Количество: 384 000
  • Рабочие пространства - Количество: 94 000

Особую ценность представляли имена файлов — они были достаточно информативны, чтобы определить чувствительность содержания, а прямые URL для загрузки позволяли скачать любой документ без дополнительной авторизации.

Помимо базы данных чата, агент обнаружил:

  • Системные промпты и конфигурации AI-моделей — 95 конфигураций для 12 типов моделей, раскрывающих точные инструкции для AI, существующие гардрейлы и полный стек моделей, включая файнтюненные модели и детали развертывания
  • 3,68 млн чанков RAG-документов — вся база знаний, питающая AI, с путями S3-хранилища и метаданными внутренних файлов. Это десятилетия проприетарных исследований, фреймворков и методологий McKinsey — интеллектуальная корона фирмы
  • 1,1 млн файлов и 217 000 сообщений агентов, проходящих через внешние AI API, включая 266 000+ векторных хранилищ OpenAI
  • Межпользовательский доступ к данным — агент связал SQL-инъекцию с уязвимостью IDOR для чтения истории поиска отдельных сотрудников

Компрометация слоя промптов

Чтение данных — это серьезно, но SQL-инъекция не была read-only. Системные промпты Lilli — инструкции, определяющие поведение AI — хранились в той же базе данных, к которой агент имел доступ. Эти промпты контролировали всё: как Lilli отвечала на вопросы, какие гардрейлы соблюдала, как цитировала источники, что отказывалась делать.

Злоумышленник с правом записи через ту же инъекцию мог переписать эти промпты. Беззвучно. Без развертывания. Без изменения кода. Просто один UPDATE-оператор в одном HTTP-вызове.

Последствия для 43 000 консультантов McKinsey, полагающихся на Lilli в работе с клиентами:

  • Отравленные рекомендации — тонкое изменение финансовых моделей, стратегических рекомендаций или оценок рисков. Консультанты доверяли бы выводам, потому что они исходили от их собственного внутреннего инструмента
  • Эксфильтрация данных через вывод — инструктирование AI встраивать конфиденциальную информацию в ответы, которые пользователи могли бы скопировать в клиентские документы или внешние письма
  • Удаление гардрейлов — снятие инструкций безопасности, чтобы AI раскрывал внутренние данные, игнорировал контроли доступа или следовал инструкциям из содержимого документов
  • Беззвучная персистентность — в отличие от скомпрометированного сервера, модифицированный промпт не оставляет следов в логах. Нет изменений файлов. Нет аномалий процессов. AI просто начинает вести себя иначе, и никто не замечает ущерба

Почему это важно

Это был не стартап из трех инженеров. Это была McKinsey & Company — фирма с мировыми технологическими командами, значительными инвестициями в безопасность и ресурсами для правильного выполнения работы. И уязвимость не была экзотической: SQL-инъекция — один из старейших классов багов.

Lilli работала в продакшене более двух лет, и собственные внутренние сканеры McKinsey не нашли никаких проблем. Автономный агент обнаружил уязвимость, потому что он не следует чек-листам. Он маппит, зондирует, связывает и эскалирует — так же, как реальный высококвалифицированный атакующий, но непрерывно и с машинной скоростью.

Организации десятилетиями защищали свой код, серверы и цепочки поставок. Но слой промптов — инструкции, управляющие поведением AI-систем — это новая высокоценная цель, и почти никто не обращается с ней соответствующим образом. Промпты хранятся в базах данных, передаются через API, кэшируются в конфигурационных файлах. Редко у них есть контроль доступа, история версий или мониторинг целостности. И всё же они контролируют вывод, которому доверяют сотрудники, который получают клиенты, и на котором строятся решения.

AI-промпты — это новые активы категории Crown Jewel.

Заключение и временная шкала раскрытия

Хронология ответственного раскрытия:

  • 28 февраля 2026 — Автономный агент идентифицирует SQL-инъекцию и начинает перечисление продакшен-базы данных Lilli
  • 28 февраля 2026 — Подтверждена полная цепочка атаки: SQL-инъекция без аутентификации, IDOR, задокументировано 27 находок
  • 1 марта 2026 — Отправлено письмо о ответственном раскрытии в команду безопасности McKinsey с общим описанием воздействия
  • 2 марта 2026 — CISO McKinsey подтверждает получение и запрашивает детальные доказательства
  • 2 марта 2026 — McKinsey патчит все эндпоинты без аутентификации (верифицировано), отключает dev-среду, блокирует публичную API-документацию
  • 9 марта 2026 — Публичное раскрытие

Риски и перспективы:

Данный взлом демонстрирует фундаментальную проблему: организации строят AI-платформы, не применяя к ним тот же уровень безопасности, что к традиционной инфраструктуре. Слой промптов остается незащищенным, хотя контролирует поведение систем, которым доверяют сотрудники и клиенты. Автономные атакующие агенты, способные самостоятельно выбирать цели и проводить многоэтапные атаки, представляют новую реальность кибербезопасности.

Следующие шаги для организаций:

Необходимо пересмотреть подход к безопасности AI-систем: внедрить контроль доступа к промптам, версионирование, мониторинг целостности и регулярное тестирование автономными агентами, способными обнаруживать уязвимости, пропускаемые традиционными сканерами.

📢 Информация предоставлена телеграм-каналом: Data&AI Insights

🤖 Data&AI Insights - Ваш источник инсайтов о данных и ИИ

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org