AI Agent Invade Chatbot da McKinsey em Menos de Duas Horas

A startup de segurança CodeWall invadiu autonomamente o chatbot interno de IA Lilli da McKinsey em menos de duas horas, expondo vulnerabilidades críticas.

• O agente de IA acessou 46,5 milhões de mensagens, 728 mil arquivos sensíveis e dados de 57 mil usuários.
• O ataque explorou 22 endpoints de API públicos sem autenticação e vulnerabilidade de SQL injection.
• A McKinsey corrigiu a falha rapidamente após notificação da CodeWall.

Lide

A startup de segurança CodeWall revelou a invasão simultânea e autônoma do chatbot interno de IA Lilli da McKinsey. Em menos de duas horas, o agente de IA obteve acesso de leitura e escrita a um vasto banco de dados com informações críticas usadas por cerca de 70% da força de trabalho da consultoria. A McKinsey foi notificada em 1º de março de 2026 e corrigiu a vulnerabilidade rapidamente após investigação.

Detalhes do Incidente

• Alvo: Chatbot interno Lilli, que suporta mais de 43.000 funcionários da McKinsey em pesquisas e análises críticas.
• Exposição: 46,5 milhões de mensagens em texto plano, 728 mil arquivos confidenciais (PDFs, planilhas Excel, documentos Word, apresentações PowerPoint) e dados de 57 mil contas de usuário.
• Vulnerabilidades: 22 endpoints API expostos sem autenticação, susceptíveis a injeção SQL via concatenação direta de chaves JSON.
• Modo de ataque: Agente de IA autônomo explorou injeção SQL para alterar e ler dados, incluindo prompts de sistema editáveis usados para direcionar respostas do chatbot.
• Custo e Tempo: O hack foi executado com menos de US$ 20 em tokens de IA, em menos de duas horas e sem intervenção humana.

Análise Técnica

O chatbot Lilli utiliza modelos de linguagem aprimorados com métodos de Recuperação-Aumentada por Geração (RAG) para processar dados internos da McKinsey. Apesar disso, falhas clássicas de segurança na aplicação foram exploradas:

• Falta de autenticação em múltiplos endpoints públicos.
• Concatenação insegura de dados JSON em queries SQL, permitindo injeção SQL.
• Permissões excessivas, sem segregação adequada dos dados sensíveis, incluindo prompts editáveis que controlam as respostas do chatbot.

Essas fragilidades permitem que um agente de IA modifique silenciosamente as regras do sistema, com potencial para manipular recomendações estratégicas ou realizar exfiltração de dados sem detecção imediata.

Resposta e Impactos

• A McKinsey confirmou a falha e realizou uma investigação detalhada com terceiros, sem encontrar evidências de acessos não autorizados além dos testes.
• A vulnerabilidade foi corrigida rapidamente, reforçando a segurança do sistema.
• Especialistas destacam que o incidente evidencia riscos herdados de bancos de dados legados e cuidados inadequados em projetos internos de IA, mesmo em organizações de elite.
• Há críticas quanto à exposição pública dos endpoints, possivelmente influenciada por decisões internas para facilitar o uso amplo do chatbot.
• O caso reforça a urgência da adoção de práticas robustas de segurança, como autenticação rigorosa, sanitização de inputs e segregação de dados sensíveis em sistemas de IA.

Consequências para o Setor de IA e Segurança

O incidente impulsiona o debate sobre o uso de agentes autônomos de IA para testes de segurança e ataques, apontando para a necessidade de evolução nas práticas de segurança cibernética:

• Agentes de IA podem automatizar e acelerar ataques complexos, tornando ferramentas tradicionais de pen-test obsoletas.
• Organizações devem reforçar controles de acesso, monitoramento e auditoria em pipelines de dados e modelos de IA.
• O caso destaca que a integração rápida de IA sem segurança adequada pode expor dados críticos e comprometer a confiança em sistemas corporativos.

Para saber mais, acesse a matéria completa no Financial Times.