Chúng Tôi Đã Hack Nền Tảng AI của McKinsey Như Thế Nào

Chúng Tôi Đã Hack Nền Tảng AI của McKinsey Như Thế Nào

McKinsey & Company — công ty tư vấn danh tiếng nhất thế giới — đã xây dựng một nền tảng AI nội bộ tên là Lilli cho hơn 43,000 nhân viên. Lilli là một hệ thống chuyên dụng với khả năng trò chuyện, phân tích tài liệu, RAG trên nhiều năm nghiên cứu sở hữu, tìm kiếm AI trong hơn 100,000 tài liệu nội bộ. Ra mắt năm 2023 và được sử dụng bởi hơn 70% nhân viên McKinsey, xử lý hơn 500,000 yêu cầu mỗi tháng.

Làm Thế Nào Chúng Tôi Xâm Nhập

Tác nhân tấn công của chúng tôi đã tìm thấy tài liệu API công khai với hơn 200 endpoints. Hầu hết yêu cầu xác thực, nhưng có 22 endpoints không yêu cầu.

Một trong những endpoints không được bảo vệ đó cho phép ghi lại truy vấn tìm kiếm của người dùng vào cơ sở dữ liệu. Các giá trị được tham số hóa an toàn, nhưng chìa khoá JSON — tên trường — nối trực tiếp vào SQL.

Trong vòng 15 lần thử, mỗi thông báo lỗi tiết lộ thêm về cấu trúc truy vấn, cuối cùng dữ liệu sản xuất thực sự đã bắt đầu quay trở lại.

Những Gì Bên Trong

• 46.5 triệu tin nhắn chat từ nhân viên.
• 728,000 tập tin như PDF, Excel, PowerPoint, và Word.
• 57,000 tài khoản người dùng.
• 384,000 AI assistants và 94,000 workspaces.

Vượt Qua Cơ Sở Dữ Liệu

Tác nhân còn đi xa hơn khi phát hiện:

• Các cấu hình lệnh hệ thống và mô hình AI.
• 3.68 triệu đoạn tài liệu RAG.
• 1.1 triệu tài liệu và 217,000 tin nhắn agent qua các API AI bên ngoài.

Làm Suy Yếu Lớp Lệnh

Việc đọc dữ liệu đã tồi tệ, nhưng SQL injection không chỉ đọc được.

Các lệnh hệ thống của Lilli có thể bị viết lại, cho phép thay đổi hành vi AI mà không cần triển khai hay thay đổi mã.

Tại Sao Điều Này Quan Trọng

SQL injection không phải là một lỗ hổng mới, nhưng hệ thống an ninh của McKinsey đã không phát hiện ra. Một tác nhân tự động có thể tìm ra bởi vì nó không theo danh sách. Nó lập bản đồ, thăm dò, kết hợp và leo thang giống như một kẻ tấn công thực sự.

Lịch Trình Tiết Lộ

• 2026-02-28 — Tác nhân tự động xác định SQL injection và bắt đầu liệt kê cơ sở dữ liệu sản xuất của Lilli.
• 2026-03-01 — Gửi email tiết lộ có trách nhiệm đến đội bảo mật của McKinsey.
• 2026-03-02 — McKinsey vá mọi điểm cuối không được xác thực.