Vollzugriff in zwei Stunden: KI-Agent hackt eigenständig KI-Plattform von McKinsey

"Es handelt sich um eine Plattform, die eine optimierte, unvoreingenommene Suche und Synthese der umfangreichen Wissensbestände des Unternehmens ermöglicht, um unseren Kunden schnell und effizient unsere besten Erkenntnisse zu liefern" , erklärte McKinsey bei Ankündigung der KI-Plattform(öffnet im neuen Fenster) . Lilli soll inzwischen mehr als eine halbe Million Prompts im Monat verarbeiten.

Angriff über ungeschützte API

Codewall hat einen KI-Agenten entwickelt, der darauf spezialisiert ist, Sicherheitslücken aufzuspüren und ohne menschliche Unterstützung in fremde IT-Systeme einzudringen. Nach Angaben der Forscher schlug dieser Agent Lilli unter Verweis auf McKinseys öffentliche Responsible-Disclosure-Policy(öffnet im neuen Fenster) sowie die jüngsten Aktualisierungen der KI-Plattform(öffnet im neuen Fenster) selbst als Angriffsziel vor.

"Also beschlossen wir, unseren autonomen Offensivagenten darauf anzusetzen. Keine Anmeldedaten. Keine Insiderkenntnisse. Und kein menschliches Eingreifen. Nur ein Domainname und ein Traum" , schreiben die Forscher.

Und der Agent hatte Erfolg. Er fand über 200 öffentlich dokumentierte API-Endpunkte. Die Nutzung einiger davon erforderte allerdings keinerlei Authentifizierung. Bei einem dieser Endpunkte gelang es dem Agenten, eigene SQL-Befehle einzuschleusen. Auf diesem Wege erhielt er Zugriff auf die Datenbank von Lilli, ohne dass die Sicherheitssysteme von McKinsey dies bemerkten.

Zugriff auf Datenschatz von McKinsey

Den Angaben zufolge konnte der KI-Agent damit unter anderem auf 46,5 Millionen Chatnachrichten, 728.000 Dateien und Dokumente sowie 57.000 Nutzerkonten und dadurch auf viele andere mit der KI-Plattform von McKinsey verbundene Daten zugreifen. Auch konnte er durch Eingriffe in System-Prompts gezielt das Verhalten der Lilli-KI manipulieren und vom Betreiber auferlegte Sicherheitsbarrieren aushebeln.

Die Codewall-Forscher meldeten die Entdeckungen ihres KI-Agenten nach eigenen Angaben am 1. März 2026 an McKinsey. Schon am nächsten Tag soll der Beratungskonzern die Sicherheitslücke geschlossen haben. Gegenüber The Register(öffnet im neuen Fenster) bestätigte ein Sprecher von McKinsey, dass die gemeldeten Probleme innerhalb weniger Stunden behoben worden seien. Hinweise auf eine Ausnutzung durch böswillige Akteure gebe es zudem nicht.

Andere Unternehmen sollten zum Aufspüren von Sicherheitslücken in ihren Systemen ebenfalls den Einsatz von KI in Erwägung ziehen. Angreifer wählen diese Option ohnehin immer häufiger . "Im Zeitalter der KI verändert sich die Bedrohungslandschaft drastisch – KI-Agenten, die autonom Ziele auswählen und angreifen, werden zur neuen Normalität werden" , warnen die Codewall-Forscher diesbezüglich.

Nachtrag vom 12. März 2026, 12:18 Uhr

McKinsey hat die Golem-Redaktion nach Veröffentlichung dieser Meldung kontaktiert und eine Stellungnahme abgegeben, die wir an dieser Stelle gerne weiterreichen: "McKinsey wurde kürzlich von einem Sicherheitsforscher auf eine Schwachstelle im Zusammenhang mit unserem internen KI-Tool Lilli aufmerksam gemacht. Wir haben die Schwachstelle umgehend identifiziert und innerhalb weniger Stunden behoben. Unsere Untersuchung, unterstützt von einem führenden externen Forensikunternehmen, ergab keine Hinweise darauf, dass Klientendaten oder vertrauliche Klienteninformationen von diesem Forscher oder einer anderen unbefugten externen Partei eingesehen wurden. Die Cybersicherheitssysteme von McKinsey sind robust, und es gibt keine höhere Priorität für uns als den Schutz der Klientendaten und Informationen, die uns anvertraut wurden."

• Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.