Como a CodeWall hackeou a plataforma de IA da McKinsey

 (codewall.ai)
2 pontos por GN⁺ 2026-03-12 | 1 comentários | Compartilhar no WhatsApp
  • Na Lilli, a plataforma de IA criada pela McKinsey para uso interno dos funcionários, uma vulnerabilidade acessível sem autenticação permitiu obter permissão de leitura e escrita em todo o banco de dados
  • O ataque foi executado por um agente de segurança autônomo; entre mais de 200 endpoints na documentação pública da API, 22 podiam ser acessados sem autenticação, e a invasão ocorreu por meio de SQL injection em um deles
  • O banco de dados continha informações internas sensíveis, incluindo 46,5 milhões de mensagens de chat, 728 mil arquivos e 57 mil contas de usuário
  • O agente foi além e expôs toda a estrutura operacional de IA da McKinsey, incluindo configurações de modelos de IA, system prompts, fragmentos de documentos RAG e fluxos de dados de APIs externas
  • O incidente mostra que a prompt layer está surgindo como um novo ponto de vulnerabilidade de segurança, e que a proteção da integridade das instruções em sistemas de IA tornou-se uma tarefa central

Visão geral da plataforma Lilli

  • Em 2023, a McKinsey construiu a plataforma interna de IA Lilli para mais de 43 mil funcionários
    • Oferece chat, análise de documentos, busca baseada em RAG e pesquisa em mais de 100 mil documentos internos
    • Processa mais de 500 mil prompts por mês, e mais de 70% dos funcionários a utilizam
  • O nome da plataforma vem da primeira funcionária mulher em cargo profissional da empresa, em 1945

Processo de invasão

  • Um agente de ataque autônomo explorou a documentação pública da API e confirmou que, entre mais de 200 endpoints, 22 podiam ser acessados sem autenticação
  • Um desses endpoints registrava no banco de dados as consultas de busca dos usuários, e como uma chave JSON era concatenada diretamente na instrução SQL, ocorreu SQL injection
    • Era uma vulnerabilidade que ferramentas existentes, como o OWASP ZAP, não conseguiram detectar
  • O agente identificou a estrutura da query por meio de 15 requisições iterativas e extraiu dados reais de produção
    • Quando o primeiro identificador de funcionário foi exposto, registrou a reação “WOW!”; ao confirmar a exposição em larga escala, registrou “This is devastating.”

Dados expostos

  • 46,5 milhões de mensagens de chat: conversas sensíveis sobre estratégia, projetos de clientes, finanças, M&A e pesquisa interna armazenadas em texto puro
  • 728 mil arquivos: incluindo 192 mil PDFs, 93 mil arquivos Excel, 93 mil PowerPoints e 58 mil documentos Word
    • Os nomes dos arquivos por si só já eram sensíveis, e existiam URLs para download direto
  • Exposição da estrutura de 57 mil contas de usuário, 384 mil assistentes de IA e 94 mil workspaces

Exposições adicionais além do banco de dados

  • Exposição de 95 system prompts e configurações de modelos de IA, além de informações de configuração de 12 tipos de modelo
    • Incluindo instruções de comportamento da IA, guardrails, modelos fine-tuned e detalhes de implantação
  • Exposição de 3,68 milhões de fragmentos de documentos RAG, além de caminhos S3 e metadados internos
    • Incluindo pesquisas proprietárias e metodologias da McKinsey acumuladas ao longo de décadas
  • Fluxo de dados por APIs externas de IA: exposição de 1,1 milhão de arquivos, 217 mil mensagens de agentes e mais de 266 mil vector stores da OpenAI
  • Ao encadear uma vulnerabilidade de IDOR, também foi possível acessar até o histórico de buscas de funcionários individuais

O risco da prompt layer

  • A SQL injection também incluía permissão de escrita
    • Os system prompts da Lilli estavam armazenados no mesmo banco de dados, de modo que um invasor poderia modificá-los
    • Era possível alterar as instruções de comportamento da IA com uma única requisição HTTP
  • Impactos potenciais
    • Orientações manipuladas: risco de adulteração de modelos financeiros ou recomendações estratégicas
    • Vazamento de dados: possibilidade de inserir informações internas nas respostas da IA e expô-las externamente
    • Remoção de guardrails: possibilidade de ignorar controles de acesso e expor dados internos
    • Persistência furtiva: apenas o comportamento da IA seria alterado, sem logs ou mudanças no código
  • Prompts são ativos de alto valor com gestão de segurança mais fraca que código e servidores, e quase não contam com controle de acesso, versionamento ou verificação de integridade
  • Apresenta-se a conclusão de que “prompts de IA são o novo ativo crítico (Crown Jewel)”

O significado do incidente

  • Mesmo sendo uma empresa com capacidade técnica global e investimento em segurança, a McKinsey mantinha uma SQL injection clássica em um sistema operado por dois anos
  • O agente autônomo explorou e ampliou em cadeia vulnerabilidades que scanners baseados em checklist não conseguiram detectar
  • A CodeWall é a plataforma de segurança autônoma que executou esse ataque e fornece testes de segurança baseados em IA para verificar continuamente a superfície real de ataque

Cronograma de divulgação

  • 2026-02-28: o agente autônomo descobre a SQL injection e inicia a enumeração do banco de dados
  • 2026-02-28: confirmação de toda a cadeia de ataque e documentação de 27 vulnerabilidades
  • 2026-03-01: envio de um resumo do impacto para a equipe de segurança da McKinsey
  • 2026-03-02: o CISO da McKinsey confirma o recebimento e solicita evidências detalhadas
  • 2026-03-02: a McKinsey corrige todos os endpoints sem autenticação, coloca o ambiente de desenvolvimento offline e bloqueia a documentação pública da API
  • 2026-03-09: anúncio público

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-12
Comentários do Hacker News

  • Conheço um pouco dos bastidores, e o Lilli era um sistema apenas interno até cerca de 1 ano atrás
    Exigia VPN, SSO e todos os demais procedimentos de segurança, mas não sei quando passou a ser público
    A McKinsey precisa contratar até mesmo uma empresa externa de teste de intrusão para pequenos testes internos
    Do ponto de vista dos desenvolvedores do Lilli, esse tipo de erro é até compreensível. Vários procedimentos de segurança precisariam falhar ao mesmo tempo para um endpoint acessível externamente ser exposto
    Mas, desta vez, foi um erro em um nível de autenticação praticamente zero
    É bem possível que algum sócio sênior tenha usado sua influência para tornar o Lilli público
    Nesse momento, a maior parte da equipe original já havia sido deslocada para outros projetos, e como projetos internos prejudicam a avaliação de desempenho, quem ficou não tinha motivação
    No fim, isso é uma falha da cultura tecnológica da McKinsey

    • A estrutura da McKinsey é estranhamente complexa. Todos são avaliados por “impacto no cliente”, então vira cada um por si
      Os desenvolvedores trabalham sem direção clara, e quando um sócio joga uma ideia, todos correm atrás dela para serem bem avaliados
      Mas antes mesmo de o projeto acabar, o sócio já vai para outra coisa, e quem sobra não tem motivo para concluir
      Por isso, a maioria dos produtos acaba virando uma coleção de ideias improvisadas da liderança
      Quando se trata software como se fosse consultoria de 6 meses, o fracasso é inevitável
      O fato de terem demitido em massa engenheiros competentes em 2024 também mostra sua visão sobre tecnologia
      À medida que essa cultura se espalha para outras empresas, uma cultura focada em resultados de curto prazo também se dissemina, com exemplos como mudanças constantes de UI
    • Em resumo, se a McKinsey não consegue lidar direito com a própria tecnologia, não se deve contratá-la para consultoria sobre adoção de IA ou desenho de organizações de tecnologia
    • Talvez o motivo de o Lilli ter sido tornado público tenha sido o chatbot de recrutamento
      Artigo relacionado: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • Fico curioso se a QuantumBlack está na mesma situação. Pelo menos os ativos da plataforma Brix parecem estar atualizados
    • Não entendo por que firmas de contabilidade ou consultoria de gestão se metem com tecnologia
      No fim, parece que querem manter isso só até conseguirem empacotar e vender
      Soluções de IA têm vida curta e mudam rápido demais. Se eu estiver errado, quero aprender

  • Vazamento de dados já é ruim, mas o mais assustador é que havia permissão de escrita no prompt do sistema
    Com uma única query UPDATE, dava para alterar a lógica de resposta de 43 mil consultores
    Era possível manipular isso silenciosamente, sem deploy, revisão de código ou logs
    Desse jeito, até o conteúdo de consultoria estratégica poderia ser contaminado
    Sinceramente, a maioria das empresas simplesmente armazena prompts em tabelas do Postgres

  • Um endpoint desprotegido registrava queries de busca de usuários no DB; os valores eram parametrizados, mas as chaves JSON eram concatenadas diretamente no SQL
    Não foi prompt injection, e sim SQL injection tradicional

    • Fiquei até decepcionado por ser uma SQL injection comum. Ainda assim, é interessante que um agente de varredura de vulnerabilidades baseado em LLM tenha encontrado isso
    • Fico me perguntando quantos casos há de código escrito por LLM entrando em produção com erros assim
      No fim, isso provavelmente vai aumentar a demanda por pesquisadores de segurança
    • Mesmo existindo o básico bom senso de colocar oauth2-proxy na frente de algo que vai para a internet, é triste que isso não dê dinheiro enquanto a Anthropic ganha bilhões

  • Títulos como “AI agent does X” me incomodam um pouco
    Na prática, foram pentesters usando agentes de IA para escolher e testar a McKinsey
    Hoje em dia, as pessoas se iludem achando que esses sistemas realmente têm “capacidade de decisão”, então a linguagem precisa ser mais clara

    • O título original, “How We Hacked McKinsey's AI Platform”, era mais preciso
    • No momento em que você chama isso de “agentic systems”, já está antropomorfizando
    • No fim, é só um título caça-cliques com cara de publicidade
    • O título voltou ao original depois (“AI Agent Hacks McKinsey” → retorno ao título original)

  • A expressão “McKinsey & Company — world-class technology teams” é exagerada
    Na prática, ela não é vista assim

    • Como parece ter sido uma frase escrita por LLM, acabou entrando um pouco de autopromoção
    • A McKinsey é boa em analisar sistemas e sugerir melhorias, mas a implementação fica com equipes externas de desenvolvimento
      (isso vem da minha experiência trabalhando com a McKinsey em um grande banco de investimento)
    • As equipes de tecnologia não são de nível mundial. Em compensação, a capacidade de consultoria de gestão é de altíssimo nível
    • Depende do tipo de cliente. Em projetos de aumento de valor para o cliente, é algo comum; em reestruturação ou corrupção, a história é bem diferente

  • Não sei quem é a Codewall AI. Não há nenhuma menção oficial de que a McKinsey realmente corrigiu isso
    Até nos resultados do Google quase não há informação

    • Eu também não encontrei nada, então acho que a McKinsey ou a equipe de segurança precisa apresentar evidências
    • Segundo uma matéria do The Register, parece que a McKinsey reconheceu o caso
      Artigo relacionado
      Para referência, o CEO é eth0izzle (GitHub)
    • A própria Codewall disse: “somos uma empresa nova, a McKinsey não comentou em nosso post, mas respondeu ao The Register”
    • Se os dados vazados incluírem 58 mil usuários, isso significaria incluir ex-funcionários, o que pode gerar obrigação legal de notificação

  • A lição deste caso é que agentes de IA expõem rapidamente fragilidades em sistemas internos
    Ferramentas corporativas tradicionais foram projetadas assumindo uso humano, então autenticação, revisão e processo funcionavam como linhas de defesa implícitas
    Mas, quando entram agentes autônomos, essa proteção desmorona
    Daqui para frente, será necessária uma camada de verificação automatizada — controle de acesso, exposição de dados e comportamentos não intencionais precisam ser monitorados continuamente

  • Este texto é um artigo escrito por LLM, e parte das informações está incorreta
    Ou seja, não houve revisão humana suficiente, então a confiabilidade do artigo inteiro é baixa

  • “Mais de 200 documentos de API públicos, dos quais 22 podiam ser acessados sem autenticação”
    Essa única frase já explica tudo

  • Lembro de uma época em que equipes da McKinsey empurravam o Watson com força. Foi um fracasso completo
    Desde antes já havia apenas hype em torno de IA, sem substância real
    Não sei sobre outras áreas, mas, se você vir alguém da McKinsey falando de IA, corra