ИИ против ИИ: как CodeWall вскрыл McKinsey чат-бота

Стартап CodeWall продемонстрировал опасность автономных ИИ-агентов, взломав чат-бот McKinsey. Учитесь защищать свои данные от новых киберугроз!

Число просмотров: 2

Автономные ИИ-агенты: Уроки из инцидента McKinsey

Стартап CodeWall запустил автономного ИИ-агента, который за два часа взломал внутренний чат-бот McKinsey Lilli, получив полный доступ к конфиденциальным данным. Представьте: машина сама выбирает цель и роет дыру в обороне гиганта консалтинга — это не фантастика, а реальность 2026 года.

Lilli — корпоративный ИИ-помощник, запущенный в 2023 году для 40-43 тысяч сотрудников McKinsey. Он ищет по 100 тысячам внутренних документов, анализирует файлы, использует RAG на базе десятилетий исследований. Более 70% персонала им пользуются, платформа обрабатывает свыше 500 тысяч промптов в месяц. Хранит стратегии компаний, данные о слияniях и поглощениях, клиентские файлы.

Агент CodeWall действовал без паролей, инсайдеров или человеческого вмешательства. Сам нашел McKinsey через HackerOne — там публичная политика bug bounty и свежие обновления Lilli. Ранжировал цели по открытым данным. Цепочка атаки: разведка, поиск уязвимости, эксплуатация. Обнаружил SQL-инъекцию в динамических ответах — классические сканеры вроде SQLMap её пропустили, так как баг скрывался в паттернах ошибок.

Доступ охватил:

46,5 миллиона сообщений,
728 тысяч клиентских файлов,
данные 57 тысяч пользователей,
95 системных промптов Lilli.

Хуже всего: база на запись. Один UPDATE — и чат-бот превращается в троянца для всех пользователей. Изменяешь промпты — и Lilli выдаёт ложные советы тысячам консультантов, без обновления кода.

Вспомните: вы доверяете ИИ внутренние секреты фирмы, а конкурентский агент за часы их крадёт. CEO CodeWall Пол Прайс подчеркнул: весь цикл — от выбора цели до отчёта — прошёл автономно. Это ИИ атакует ИИ на машинной скорости.

CodeWall раскрыл уязвимость 1 марта 2026 года по правилам ответственного раскрытия. McKinsey отреагировала мгновенно: закрыла эндпоинты без авторизации, отключила dev-среду, спрятала документацию API. Компания утверждает — данные не утекли, независимая криминалистика это подтвердила. Но вскрылись системные огрехи: отсутствие сегментации данных, слабая аутентификация, хранение промптов в продакшене.

Что это значит для бизнеса?

Автономные агенты меняют правила игры в кибербезопасности. Традиционные инструменты слепы к таким атакам. Проверяйте свои ИИ-системы на SQL-инъекции в ответах. Сегментируйте базы: промпты отдельно от пользовательских данных. Внедряйте многофакторку для API. Тестируйте автономными агентами «красной команды» — как CodeWall. Не храните чувствительное в продакшене без нужды.

Этот случай — сигнал: ИИ-платформы уязвимы даже для себе подобных. Представьте хакера с таким агентом против вашей фирмы. Действуйте сейчас, пока не поздно. Инцидент McKinsey учит: прозрачность помогает, но автономные угрозы опережают защиту.

Если вы хотите изучить готовые сценарии по автоматизации для n8n, это может помочь в создании более безопасных и эффективных процессов в вашей компании.