Wie wir McKinseys AI-Plattform gehackt haben

 (codewall.ai)
2 Punkte von GN⁺ 2026-03-12 | 1 Kommentare | Auf WhatsApp teilen
  • Auf McKinseys interner AI-Plattform „Lilli“ konnte über eine ohne Authentifizierung zugängliche Schwachstelle Lese- und Schreibzugriff auf die gesamte Datenbank erlangt werden
  • Der Angriff wurde von einem autonomen Sicherheitsagenten durchgeführt. Von den mehr als 200 Endpunkten in der öffentlich zugänglichen API-Dokumentation waren 22 ohne Authentifizierung erreichbar, und über eine SQL-Injection in einem davon gelang das Eindringen
  • Die Datenbank enthielt sensible interne Informationen wie 46,5 Millionen Chat-Nachrichten, 728.000 Dateien und 57.000 Benutzerkonten
  • Der Agent legte darüber hinaus McKinseys gesamte AI-Betriebsstruktur offen, darunter AI-Modellkonfigurationen, System-Prompts, RAG-Dokumentfragmente und externe API-Datenflüsse
  • Der Vorfall zeigt, dass die Prompt-Schicht (prompt layer) als neuer sicherheitskritischer Schwachpunkt auftritt und der Schutz der Integrität von Anweisungen in AI-Systemen zu einer Kernaufgabe wird

Überblick über die Plattform Lilli

  • McKinsey baute 2023 die interne AI-Plattform Lilli für mehr als 43.000 Mitarbeiter auf
    • Sie bietet Chat, Dokumentenanalyse, RAG-basierte Suche und die Suche in mehr als 100.000 internen Dokumenten
    • Sie verarbeitet monatlich mehr als 500.000 Prompts, und über 70 % der Mitarbeiter nutzen sie
  • Der Plattformname leitet sich vom Namen der ersten weiblichen Fachkraft des Unternehmens aus dem Jahr 1945 ab

Ablauf der Kompromittierung

  • Ein autonomer Angriffsagent untersuchte die öffentlich zugängliche API-Dokumentation und stellte fest, dass 22 von mehr als 200 Endpunkten ohne Authentifizierung erreichbar waren
  • Einer dieser Endpunkte schrieb Benutzersuchanfragen in die Datenbank, wobei ein JSON-Schlüssel direkt in ein SQL-Statement eingefügt wurde, wodurch eine SQL-Injection entstand
    • Es handelte sich um eine Schwachstelle, die bestehende Tools wie OWASP ZAP nicht erkannt hatten
  • Der Agent analysierte über 15 wiederholte Anfragen die Struktur der Query und extrahierte echte Produktionsdaten
    • Als die erste Mitarbeiterkennung offengelegt wurde, hielt er die Reaktion „WOW!“ fest; nach Bestätigung des massiven Datenabflusses lautete die Reaktion „This is devastating.“

Offengelegte Daten

  • 46,5 Millionen Chat-Nachrichten: sensible Gespräche zu Strategie, Kundenprojekten, Finanzen, M&A und interner Forschung wurden im Klartext gespeichert
  • 728.000 Dateien: darunter 192.000 PDF-Dateien, 93.000 Excel-Dateien, 93.000 PowerPoint-Dateien und 58.000 Word-Dateien
    • Schon die Dateinamen waren sensibel, zudem existierten direkt herunterladbare URLs
  • Die Struktur von 57.000 Benutzerkonten, 384.000 AI-Assistenten und 94.000 Workspaces wurde offengelegt

Zusätzliche Offenlegung jenseits der Datenbank

  • 95 System-Prompts und AI-Modellkonfigurationen sowie Konfigurationsinformationen zu 12 Modelltypen wurden offengelegt
    • Enthalten waren Verhaltensanweisungen der AI, Guardrails sowie Details zu Fine-Tuning-Modellen und deren Bereitstellung
  • 3,68 Millionen RAG-Dokumentfragmente sowie S3-Pfade und interne Metadaten wurden offengelegt
    • Darunter McKinseys über Jahrzehnte aufgebaute proprietäre Forschung und Methodik
  • Datenflüsse über externe AI-APIs: 1,1 Millionen Dateien, 217.000 Agentennachrichten und mehr als 266.000 OpenAI-Vektorspeicher wurden offengelegt
  • Durch die Kombination mit einer IDOR-Schwachstelle war sogar Zugriff auf die Suchhistorie einzelner Mitarbeiter möglich

Risiken der Prompt-Schicht

  • Die SQL-Injection umfasste auch Schreibrechte
    • Da die System-Prompts von Lilli in derselben Datenbank gespeichert waren, konnte ein Angreifer sie verändern
    • Mit einer einzigen HTTP-Anfrage ließ sich so das Verhaltensregelwerk der AI ändern
  • Mögliche Auswirkungen
    • Manipulierte Empfehlungen: Gefahr verfälschter Finanzmodelle oder Strategievorschläge
    • Datenabfluss: Interne Informationen könnten in AI-Antworten eingebettet und nach außen gegeben werden
    • Entfernung von Guardrails: Zugriffskontrollen könnten umgangen und interne Daten offengelegt werden
    • Verdeckte Persistenz: Es würde nur das Verhalten der AI manipuliert, ohne Logs oder Codeänderungen
  • Prompts sind im Vergleich zu Code und Servern hochwertige Vermögenswerte mit schwacher Sicherheitsverwaltung; Zugriffskontrolle, Versionsverwaltung und Integritätsprüfung fehlen fast vollständig
  • Daraus folgt die Schlussfolgerung: „AI-Prompts sind das neue Crown Jewel.“

Bedeutung des Vorfalls

  • Obwohl McKinsey über weltweite technische Kompetenz und hohe Sicherheitsinvestitionen verfügt, existierte in einem seit zwei Jahren betriebenen System eine klassische SQL-Injection
  • Der autonome Agent erkundete und erweiterte Schwachstellen, die checklistenbasierte Scanner nicht erkannten, schrittweise zu einer vollständigen Angriffskette
  • CodeWall ist die autonome Sicherheitsplattform, die diesen Angriff ausführte, und bietet AI-basierte Sicherheitstests, die die tatsächliche Angriffsoberfläche kontinuierlich prüfen

Offenlegungszeitplan

  • 2026-02-28: Der autonome Agent entdeckte die SQL-Injection und begann mit der Auflistung der Datenbank
  • 2026-02-28: Die gesamte Angriffskette wurde bestätigt, 27 Schwachstellen wurden dokumentiert
  • 2026-03-01: Übermittlung einer Zusammenfassung der Auswirkungen an McKinseys Sicherheitsteam
  • 2026-03-02: McKinseys CISO bestätigte den Eingang und bat um detaillierte Belege
  • 2026-03-02: McKinsey patchte alle nicht authentifizierten Endpunkte, nahm die Entwicklungsumgebung offline und sperrte die öffentliche API-Dokumentation
  • 2026-03-09: Öffentliche Bekanntgabe

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-12
Hacker-News-Kommentare

  • Ich kenne die internen Verhältnisse ein wenig, und Lilli war bis vor etwa einem Jahr noch ein rein internes System.
    Dafür waren VPN, SSO und alle anderen Sicherheitsverfahren erforderlich, aber ich weiß nicht, wann es öffentlich wurde.
    McKinsey muss selbst für kleine interne Tests externe Penetrationstest-Firmen beauftragen.
    Aus Sicht der Lilli-Entwickler ist so ein Fehler nachvollziehbar. Es mussten mehrere Sicherheitsmechanismen gleichzeitig versagen, damit ein von außen erreichbarer Endpoint offengelegt wurde.
    Aber diesmal lag das Versagen bei der Authentifizierung praktisch nahe null.
    Wahrscheinlich hat irgendein Senior Partner seinen Einfluss genutzt, um Lilli öffentlich zugänglich zu machen.
    Zu diesem Zeitpunkt war der Großteil des ursprünglichen Teams bereits auf andere Projekte gewechselt, und weil interne Projekte bei Bewertungen benachteiligt werden, war das verbleibende Personal nicht motiviert.
    Am Ende ist das ein Versagen der Technologiekultur bei McKinsey.

    • McKinsey ist strukturell seltsam kompliziert. Alle werden nach „Client Impact“ bewertet, deshalb entsteht eine Jeder-für-sich-Struktur.
      Entwickler arbeiten ohne klare Richtung, und wenn ein Partner eine Idee einwirft, stürzen sich alle darauf, um damit in der Bewertung zu punkten.
      Aber noch bevor das Projekt abgeschlossen ist, wechselt der Partner schon zum nächsten Thema, und für die Verbliebenen gibt es keinen Grund, es zu Ende zu bringen.
      Deshalb wirken die meisten Produkte wie eine Sammlung spontaner Ideen der Führungsebene.
      Wenn man Software wie ein sechsmonatiges Consulting-Projekt behandelt, geht sie zwangsläufig kaputt.
      Dass 2024 massenhaft fähige Engineers entlassen wurden, zeigt ebenfalls, wie sie über Technologie denken.
      Während sich diese Kultur auf andere Unternehmen überträgt, verbreitet sich auch eine auf kurzfristige Ergebnisse fokussierte Kultur, in der etwa die UI ständig verändert wird.
    • Unterm Strich gilt: Wenn McKinsey selbst nicht ordentlich mit Technologie umgehen kann, sollte man ihnen keine Beratung zu AI-Einführung oder dem Aufbau von Technologieorganisationen anvertrauen.
    • Vielleicht wurde Lilli wegen eines Chatbots für Recruiting öffentlich gemacht.
      Passender Artikel: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • Ich frage mich, ob es bei QuantumBlack genauso aussieht. Dort scheinen die Assets der Brix-Plattform immerhin noch auf dem neuesten Stand zu sein.
    • Ich verstehe nicht, warum Wirtschaftsprüfungs- oder Managementberatungen überhaupt mit Technologie herumhantieren.
      Am Ende wollen sie es offenbar nur so lange pflegen, bis es sich verpacken und verkaufen lässt.
      AI-Lösungen haben eine kurze Lebensdauer und verändern sich viel zu schnell. Wenn ich falsch liege, lerne ich gern dazu.

  • Der Datenabfluss ist schon schlimm, aber noch beängstigender ist, dass es Schreibzugriff auf den System Prompt gab.
    Mit einer einzigen UPDATE-Abfrage hätte man die Antwortlogik für 43.000 Berater ändern können.
    Das wäre leise manipulierbar gewesen, ohne Deployment, Code-Review oder Logs.
    Auf diese Weise könnte sogar der Inhalt strategischer Beratung verfälscht werden.
    Ehrlich gesagt speichern die meisten Unternehmen ihre Prompts einfach in einer Postgres-Tabelle.

  • Ein ungeschützter Endpoint protokollierte Suchanfragen von Nutzern in der DB; die Werte waren zwar parametrisiert, aber die JSON-Schlüssel wurden direkt an SQL angehängt.
    Es war keine Prompt Injection, sondern klassische SQL-Injection.

    • Dass es nur eine gewöhnliche SQL-Injection war, ist fast etwas enttäuschend. Trotzdem ist interessant, dass sie von einem LLM-basierten Vulnerability-Scanning-Agenten gefunden wurde.
    • Ich frage mich, in wie vielen Fällen von LLM geschriebener Code mit genau solchen Fehlern in Produktion gegangen ist.
      Das wird am Ende wohl zu mehr Nachfrage nach Sicherheitsforschern führen.
    • Selbst wenn es eigentlich Grundwissen ist, vor einem im Internet bereitgestellten Dienst oauth2-proxy vorzuschalten, kann man damit kein Geld verdienen, während Anthropic Milliarden macht — das ist schon unerquicklich.

  • Titel wie „AI agent does X“ finde ich etwas problematisch.
    Tatsächlich haben Pentester mit einem AI-Agenten McKinsey ausgewählt und getestet.
    Inzwischen glauben Leute ja schnell, dass solche Systeme echte „Entscheidungsfähigkeit“ hätten, daher sollte man präziser formulieren.

    • Der ursprüngliche Artikeltitel „How We Hacked McKinsey's AI Platform“ war genauer.
    • In dem Moment, in dem man von „agentic systems“ spricht, betreibt man bereits Anthropomorphisierung.
    • Am Ende ist es nur ein klickorientierter Werbetitel.
    • Der Titel wurde wieder auf die ursprüngliche Fassung zurückgesetzt („AI Agent Hacks McKinsey“ → zurück zum Originaltitel).

  • Die Formulierung „McKinsey & Company — world-class technology teams“ ist übertrieben.
    In Wirklichkeit werden sie nicht so bewertet.

    • Klingt so, als wäre der Satz von einem LLM geschrieben worden und hätte deshalb unvermeidlich etwas Selbstbeweihräucherung enthalten.
    • McKinsey ist gut in Systemanalyse und Verbesserungsvorschlägen, aber die Umsetzung übernimmt ein externes Entwicklungsteam.
      (Das stammt aus meiner Erfahrung bei der Zusammenarbeit mit McKinsey in einer großen Investmentbank.)
    • Die Technologieteams sind nicht Weltklasse. Dafür sind ihre Management-Consulting-Fähigkeiten erstklassig.
    • Es hängt davon ab, welche Kunden gemeint sind. Bei Projekten zur Steigerung des Kundennutzens sind sie eher gewöhnlich, aber bei Restrukturierung oder korruptionsbezogenen Themen ist das eine ganz andere Geschichte.

  • Ich weiß nicht, wer Codewall AI ist. Es gibt keine offizielle Aussage, dass McKinsey tatsächlich gepatcht hat.
    Auch in den Google-Suchergebnissen findet man kaum Informationen.

    • Ich habe ebenfalls keine Informationen und finde, dass McKinsey oder das Sicherheitsteam Belege vorlegen sollten.
    • Laut dem Artikel von The Register scheint McKinsey es eingeräumt zu haben.
      Passender Artikel
      Der CEO ist übrigens eth0izzle (GitHub).
    • Codewall selbst erklärte, „wir sind ein neues Unternehmen, und McKinsey hat unseren Post nicht kommentiert, aber The Register geantwortet“.
    • Falls die geleakten Daten tatsächlich 58.000 Nutzer umfassten, würde das bedeuten, dass auch ehemalige Mitarbeiter betroffen waren, was gesetzliche Benachrichtigungspflichten auslösen könnte.

  • Die Lehre aus diesem Vorfall ist, dass AI-Agenten Schwachstellen in internen Systemen schnell offenlegen.
    Herkömmliche Enterprise-Tools wurden unter der Annahme entworfen, dass Menschen sie benutzen; Authentifizierung, Prüfung und Prozesse fungierten dabei als implizite Verteidigungslinie.
    Sobald jedoch autonome Agenten ins Spiel kommen, bricht dieser Schutzschirm weg.
    Künftig braucht es eine automatisierte Validierungsschicht — Zugriffskontrolle, Datenexposition und unbeabsichtigtes Verhalten müssen kontinuierlich überprüft werden.

  • Dieser Text ist ein von einem LLM geschriebener Artikel, und einige Informationen darin sind ungenau.
    Das heißt, es hat keine ausreichende menschliche Prüfung stattgefunden, weshalb die Glaubwürdigkeit des gesamten Artikels gering ist.

  • „Mehr als 200 öffentlich einsehbare API-Dokumente, davon 22 ohne Authentifizierung zugänglich“
    Dieser eine Satz erklärt im Grunde alles.

  • Ich erinnere mich, dass ein McKinsey-Team früher Watson massiv gepusht hat. Das war ein kompletter Fehlschlag.
    Schon damals gab es bei AI-bezogenem Hype viel Lärm und wenig Substanz.
    Ich weiß nicht, wie es in anderen Bereichen ist, aber wenn ein McKinsey-Mensch über AI spricht, sollte man weglaufen.