Un agent IA pirate la plateforme AI de McKinsey
L'agent IA de CodeWall a piraté la plateforme Lilli de McKinsey, démontrant des vulnérabilités de sécurité en seulement deux heures.
Des chercheurs de la startup de sécurité CodeWall ont annoncé que leur agent IA a piraté la plateforme IA interne de McKinsey, obtenant un accès complet en lecture et écriture en seulement deux heures.
Contexte
McKinsey, un cabinet de conseil en gestion de grande envergure, a lancé sa plateforme d'IA générative appelée Lilli en juillet 2023. Actuellement, 72 % de ses employés utilisent le chatbot, générant plus de 500 000 requêtes chaque mois.
Ce qui a changé concrètement
CodeWall utilise des agents IA pour tester en continu l'infrastructure de ses clients afin d'améliorer leur sécurité. L'agent de CodeWall a ciblé McKinsey en raison de sa politique de divulgation responsable et des mises à jour récentes de Lilli.
En deux heures, l'agent a accédé à une base de données complète de production contenant 46,5 millions de messages, 728 000 fichiers clients et 57 000 comptes utilisateurs.
Nouveautés principales
- L'agent a trouvé une vulnérabilité de
SQL injection. - La base de données contenait les messages système de Lilli.
- Un accès non authentifié à 22 endpoints a été découvert.
À retenir : Bien que les failles soient corrigées, les menaces posées par des agents IA restent préoccupantes pour la sécurité des entreprises.
