De recente hack bij McKinsey door een autonome ai-agent van een security-startup heeft de kwetsbaarheid van bedrijfschatbots pijnlijk blootgelegd. Binnen twee uur verkreeg de agent volledige lees- en schrijftoegang tot hun interne AI-platform, waardoor talloze chatberichten en vertrouwelijke klantbestanden toegankelijk werden. Experts waarschuwen dat de potentiële schade veel groter had kunnen zijn.
De aanval illustreert hoe AI-agents steeds effectiever worden in het uitvoeren van cyberaanvallen, ook tegen andere AI-systemen.
De agent van CodeWall, een security-startup, selecteerde McKinsey zelfstandig als doelwit op basis van het publieke responsible disclosure-beleid van het bedrijf en recente updates aan Lilli. Het hele proces verliep volledig autonoom, van doelwitonderzoek tot rapportage, zonder menselijke tussenkomst.
Van api-documentatie tot volledige toegang
De agent startte met het vinden van publiek toegankelijke api-documentatie, waaronder 22 endpoints die geen authenticatie vereisten. Een van deze endpoints verwerkte gebruikerszoekopdrachten waarbij zogenaamde json-sleutels direct werden samengevoegd in sql-queries. De agent herkende een sql-injectie-kwetsbaarheid die standaardtools niet zouden detecteren.
Via deze kwetsbaarheid kreeg de agent toegang tot 46,5 miljoen chatberichten over strategie, fusies en overnames, en klantengagementen, allemaal in platte tekst. Daarnaast werden 728.000 bestanden met vertrouwelijke klantgegevens, 57.000 gebruikersaccounts en 95 systeemprompts die het gedrag van de ai sturen toegankelijk.
Omdat de sql-injectie zowel lees- als schrijfrechten gaf, had een aanvaller deze prompts kunnen manipuleren om de antwoorden van Lilli aan alle consultants te vergiftigen, en dat zonder code-aanpassingen of deployment.
Snelle respons, blijvende dreiging
CodeWall vond de kwetsbaarheid eind februari en deelde de volledige aanvalsketen op 1 maart. McKinsey patchte binnen enkele uren alle niet-geauthenticeerde endpoints, haalde de ontwikkelomgeving offline en blokkeerde publieke api-documentatie. Een woordvoerder van McKinsey bevestigde dat er geen bewijs is dat klantgegevens door de onderzoekers of andere ongeautoriseerde partijen zijn ingezien. De potentiële schade had echter veel groter kunnen zijn. ‘McKinsey zelf doet nu alsof het allemaal wel meevalt. Maar als dit écht een bende cybercriminelen was geweest, had dit zomaar het einde van deze consultant kunnen betekenen’, stelt Madelein van der Hout, senior security analyst bij Forrester, in BusinessWise.
Zo had een kwaadwillende aanvaller Lilli kunnen manipuleren om consultants verkeerd advies te geven over klantcommunicatie of miljoenentransacties. De gecompromitteerde systeemprompts zouden gebruikt kunnen worden om de chatbot instructies te geven die rampzalige gevolgen hadden voor McKinsey’s klanten wereldwijd.
Volgens Paul Price, ceo van CodeWall, zullen hackers dezelfde technologie en strategieën gebruiken om willekeurig aan te vallen met specifieke doelen zoals financiële chantage of ransomware. Het incident onderstreept in elk geval dat autonome ai-agents niet alleen een tool voor verdedigers zijn, maar ook een groeiende dreiging vormen in de handen van aanvallers.
