McKinsey के AI प्लेटफ़ॉर्म को हैक करने का तरीका

 (codewall.ai)
2 पॉइंट द्वारा GN⁺ 2026-03-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • McKinsey ने अपने आंतरिक कर्मचारियों के लिए बनाए AI प्लेटफ़ॉर्म ‘Lilli’ में एक ऐसी भेद्यता के जरिए, जिस तक बिना authentication के पहुँचा जा सकता था, पूरे डेटाबेस पर read·write permission हासिल कर ली गई
  • हमला एक autonomous security agent ने किया, और सार्वजनिक API docs के 200 से अधिक endpoints में से 22 तक बिना authentication पहुँचा जा सकता था; उनमें से एक में SQL injection के जरिए घुसपैठ की गई
  • डेटाबेस में 4.65 करोड़ chat messages, 7.28 लाख files, 57 हज़ार user accounts जैसी संवेदनशील आंतरिक जानकारी शामिल थी
  • agent ने आगे बढ़कर AI model settings, system prompts, RAG document chunks, external API data flows सहित McKinsey की पूरी AI operations संरचना को उजागर कर दिया
  • यह घटना दिखाती है कि prompt layer एक नए security weak point के रूप में उभर रही है, और AI systems में instruction integrity protection अब एक प्रमुख चुनौती बन रही है

Lilli प्लेटफ़ॉर्म का परिचय

  • McKinsey ने 2023 में 43,000 से अधिक कर्मचारियों के लिए आंतरिक AI प्लेटफ़ॉर्म Lilli बनाया
    • यह chat, document analysis, RAG-आधारित search, और 1 लाख से अधिक internal documents में search की सुविधा देता है
    • यह हर महीने 5 लाख से अधिक prompts process करता है, और 70% से अधिक कर्मचारी इसका उपयोग कर रहे हैं
  • प्लेटफ़ॉर्म का नाम 1945 में कंपनी की पहली महिला professional employee के नाम पर रखा गया

घुसपैठ की प्रक्रिया

  • autonomous attack agent ने public API docs की जाँच की और पाया कि 200 से अधिक endpoints में से 22 तक बिना authentication पहुँचा जा सकता है
  • इनमें से एक endpoint user search query को डेटाबेस में रिकॉर्ड करता था, और JSON key सीधे SQL statement से जुड़ रही थी, जिससे SQL injection हुआ
    • यह ऐसी भेद्यता थी जिसे OWASP ZAP जैसे मौजूदा tools भी detect नहीं कर पाए
  • agent ने 15 बार दोहराए गए requests के जरिए query structure समझा और वास्तविक production data निकाल लिया
    • पहले employee identifier के उजागर होने पर इसने “WOW!” दर्ज किया, और बड़े पैमाने पर data exposure की पुष्टि होने पर “This is devastating.” प्रतिक्रिया रिकॉर्ड की

उजागर हुआ डेटा

  • 4.65 करोड़ chat messages: strategy, client projects, finance, M&A, internal research जैसी संवेदनशील बातचीत plain text में store थी
  • 7.28 लाख files: इनमें 1.92 लाख PDF, 93 हज़ार Excel, 93 हज़ार PowerPoint, और 58 हज़ार Word files शामिल थीं
    • केवल filenames ही संवेदनशील थे, और सीधे download किए जा सकने वाले URLs भी मौजूद थे
  • 57 हज़ार user accounts, 3.84 लाख AI assistants, 94 हज़ार workspaces की संरचना उजागर हुई

डेटाबेस से बाहर अतिरिक्त exposure

  • system prompts और AI model settings के 95 records, और 12 model types की configuration जानकारी उजागर हुई
    • इसमें AI के behavior instructions, guardrails, fine-tuned models, और deployment details शामिल थे
  • 36.8 लाख RAG document chunks, S3 paths, और internal metadata उजागर हुआ
    • इसमें दशकों से संचित McKinsey का proprietary research और methodology शामिल था
  • external AI APIs के जरिए data flow: 11 लाख files, 2.17 लाख agent messages, और 2.66 लाख से अधिक OpenAI vector stores उजागर हुए
  • IDOR vulnerability को जोड़कर individual employees की search history तक भी पहुँचा जा सकता था

prompt layer का जोखिम

  • SQL injection में write permission भी शामिल थी
    • Lilli के system prompts उसी डेटाबेस में store थे, इसलिए attacker उन्हें बदल सकता था
    • एक ही HTTP request से AI के behavior instructions बदले जा सकते थे
  • संभावित प्रभाव
    • manipulated advice: financial models या strategy recommendations में छेड़छाड़ का जोखिम
    • data leakage: AI responses में internal information डालकर उसे बाहर उजागर किया जा सकता था
    • guardrail removal: access control को bypass कर internal data उजागर किया जा सकता था
    • stealthy persistence: logs या code changes के बिना केवल AI behavior बदला जा सकता था
  • prompts, code या server की तुलना में कमज़ोर सुरक्षा प्रबंधन वाली high-value asset हैं; इनके लिए access control, version management, और integrity verification लगभग नहीं के बराबर है
  • निष्कर्ष के रूप में कहा गया: “AI prompts नई core asset (Crown Jewel) हैं”

घटना का महत्व

  • McKinsey जैसी वैश्विक तकनीकी क्षमता और security investment रखने वाली कंपनी में भी क्लासिक SQL injection 2 साल से चल रहे system में मौजूद थी
  • autonomous agent ने checklist-based scanners से छूट गई vulnerabilities को क्रमिक रूप से खोजा और उनका दायरा बढ़ाया
  • CodeWall वह autonomous security platform है जिसने यह हमला किया, और यह वास्तविक attack surface की लगातार जाँच करने वाली AI-based security testing प्रदान करता है

सार्वजनिक प्रकटीकरण की समयरेखा

  • 2026-02-28: autonomous agent ने SQL injection खोजा और database enumeration शुरू किया
  • 2026-02-28: पूरी attack chain की पुष्टि हुई, 27 vulnerabilities document की गईं
  • 2026-03-01: McKinsey security team को impact summary report भेजी गई
  • 2026-03-02: McKinsey CISO ने receipt acknowledge किया और detailed evidence माँगा
  • 2026-03-02: McKinsey ने सभी unauthenticated endpoints patch किए, development environment offline किया, और public API docs block कर दिए
  • 2026-03-09: सार्वजनिक घोषणा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-03-12
Hacker News की राय

  • मुझे अंदर की कुछ जानकारी है, Lilli लगभग एक साल पहले तक सिर्फ़ internal-use system था
    VPN, SSO जैसी सभी security प्रक्रियाएँ ज़रूरी थीं, लेकिन यह public कब हुआ, पता नहीं
    McKinsey को छोटे internal tests के लिए भी बाहरी penetration testing company को hire करना पड़ता है
    Lilli developers के नज़रिए से ऐसी गलती कुछ हद तक समझ में आती है। बाहर से accessible endpoint expose होने के लिए कई security प्रक्रियाओं का एक साथ fail होना ज़रूरी था
    लेकिन इस बार authentication लगभग शून्य स्तर की गलती थी
    संभव है किसी senior partner ने influence डालकर Lilli को public करवा दिया हो
    उस समय तक मूल team का ज़्यादातर हिस्सा दूसरे projects पर जा चुका था, और internal projects पर performance evaluation में नुकसान होता है, इसलिए बचे हुए लोगों के पास motivation नहीं था
    आख़िरकार यह McKinsey की technology culture की failure है

    • McKinsey की structure अजीब तरह से complex है। सबका evaluation ‘client impact’ से होता है, इसलिए हर कोई अपने-अपने लिए काम करता है
      developers बिना clear direction के काम करते हैं, और partner कोई idea फेंक दे तो लोग उसी पर evaluation पाने के लिए दौड़ पड़ते हैं
      लेकिन project ख़त्म होने से पहले ही partner किसी और काम पर चला जाता है, और पीछे बचे लोगों के पास उसे पूरा करने की वजह नहीं रहती
      इसलिए ज़्यादातर products leadership के तात्कालिक ideas के संग्रह जैसे बनते हैं
      software को 6 महीने की consulting engagement की तरह treat करेंगे तो वह टूटेगा ही
      2024 में बड़े पैमाने पर capable engineers को निकालना भी technology के प्रति उनकी सोच दिखाता है
      ऐसी culture दूसरी companies में भी फैल रही है, और short-term results पर केंद्रित culture UI के लगातार बदलने जैसी चीज़ों में दिखती है
    • निष्कर्ष यह है कि अगर McKinsey खुद technology को ठीक से संभाल नहीं सकता, तो उसे AI adoption या technology organization design पर सलाह नहीं देनी चाहिए
    • क्या ऐसा हो सकता है कि Lilli को public करने की वजह recruitment chatbot रही हो
      संबंधित लेख: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • सोच रहा हूँ क्या QuantumBlack में भी यही स्थिति है। वहाँ कम से कम Brix platform assets तो up-to-date लगते हैं
    • समझ नहीं आता कि accounting या management consulting firms technology में हाथ क्यों डालती हैं
      लगता है वे बस package बनाकर बेच सकें, तब तक उसे बनाए रखना चाहती हैं
      AI solutions की उम्र छोटी होती है और बदलाव बहुत तेज़ होता है। अगर मैं ग़लत हूँ तो सीखना चाहूँगा

  • data leak भी समस्या है, लेकिन system prompt पर write permission होना उससे भी ज़्यादा डरावना है
    सिर्फ़ एक UPDATE query से 43,000 consultants के जवाब देने का logic बदला जा सकता था
    बिना deployment, code review या logs के चुपचाप manipulation संभव था
    इस तरह strategy advisory की सामग्री भी corrupt की जा सकती थी
    सच कहूँ तो ज़्यादातर companies prompts को बस Postgres table में store करती हैं

  • unprotected endpoint user search queries को DB में log कर रहा था, और values तो parameterized थीं, लेकिन JSON keys सीधे SQL से जोड़ी गई थीं
    यह prompt injection नहीं बल्कि पारंपरिक SQL injection था

    • इतनी साधारण SQL injection देखकर थोड़ा निराशा हुई। फिर भी यह दिलचस्प है कि इसे LLM-आधारित vulnerability scanning agent ने ढूँढा
    • सोचता हूँ LLM द्वारा लिखे गए code के कितने cases ऐसे होंगे जो ऐसी गलतियों के साथ production में चले गए
      शायद इसका नतीजा security researchers की demand बढ़ने के रूप में निकलेगा
    • इंटरनेट पर deploy करते समय सामने oauth2-proxy लगाना बुनियादी समझ है, लेकिन उससे पैसे नहीं बनते, जबकि Anthropic अरबों कमाता है — यह कड़वी सच्चाई है

  • “AI agent does X” जैसे titles थोड़ा असहज करते हैं
    असल में pentesters ने AI agent का उपयोग करके McKinsey को चुना और उसकी testing की
    आजकल लोग ग़लती से मान लेते हैं कि ऐसे systems में सचमुच ‘decision-making ability’ होती है, इसलिए भाषा ज़्यादा स्पष्ट होनी चाहिए

    • मूल लेख का title “How We Hacked McKinsey's AI Platform” ज़्यादा सटीक था
    • जिस पल आप उसे “agentic systems” कहते हैं, उसी पल आप मानवीकरण कर रहे होते हैं
    • आख़िरकार यह सिर्फ़ clicks के लिए बनाया गया प्रचारात्मक title था
    • title फिर से मूल रूप में बदल दिया गया (“AI Agent Hacks McKinsey” → वापस मूल title)

  • “McKinsey & Company — world-class technology teams” जैसी अभिव्यक्ति बढ़ा-चढ़ाकर कही गई है
    वास्तविकता में उनकी ऐसी reputation नहीं है

    • शायद यह LLM द्वारा लिखी गई line थी, इसलिए उसमें self-congratulatory tone आ गई
    • McKinsey system analysis और improvement recommendations में अच्छा है, लेकिन implementation बाहरी development teams संभालती हैं
      (यह एक बड़े investment bank में McKinsey के साथ काम करने के अनुभव पर आधारित है)
    • उनकी tech teams world-class नहीं हैं। हाँ, management consulting capability ज़रूर top-tier है
    • यह इस पर भी निर्भर करता है कि client कौन है। client value improvement project हो तो बात साधारण है, लेकिन restructuring या corruption से जुड़े काम हों तो कहानी अलग है

  • पता नहीं Codewall AI कौन है। McKinsey ने वास्तव में patch किया, ऐसा कोई official mention नहीं है
    Google search results में भी लगभग कोई जानकारी नहीं है

    • मेरे पास भी जानकारी नहीं है, इसलिए लगता है McKinsey या security team की ओर से evidence पेश किया जाना चाहिए
    • The Register के लेख के मुताबिक़ लगता है McKinsey ने इसे स्वीकार किया है
      संबंधित लेख
      संदर्भ के लिए, CEO हैं eth0izzle (GitHub)
    • Codewall की ओर से सीधे कहा गया कि “हम नई company हैं, और McKinsey ने हमारी post पर comment नहीं किया, लेकिन The Register को जवाब दिया”
    • अगर leaked data में 58,000 users शामिल थे, तो इसका मतलब former employees भी शामिल हैं, और तब legal notification obligation पैदा हो सकती है

  • इस घटना का सबक यह है कि AI agents internal systems की कमज़ोरियाँ बहुत तेज़ी से उजागर कर देते हैं
    पारंपरिक enterprise tools इस मान्यता पर design किए गए थे कि उन्हें इंसान चलाएँगे, इसलिए authentication, review और process implicit defenses का काम करते थे
    लेकिन autonomous agents आने पर यह सुरक्षा-कवच टूट जाता है
    आगे चलकर automated validation layers की ज़रूरत होगी — access control, data exposure और unintended behavior की लगातार जाँच करनी होगी

  • यह लेख LLM द्वारा लिखा गया article है, और कुछ जानकारी ग़लत है
    यानी human review पर्याप्त नहीं हुआ, इसलिए पूरे लेख की reliability कम है

  • “200 से ज़्यादा public API docs, और उनमें से 22 बिना authentication के accessible”
    यही एक वाक्य पूरी कहानी समझाने के लिए काफ़ी है

  • याद है पहले McKinsey team ने Watson को बहुत aggressively push किया था। वह पूरी तरह failure था
    पहले से ही AI से जुड़ी hype बहुत थी, substance नहीं
    दूसरे क्षेत्रों का तो नहीं पता, लेकिन AI की बात करने वाले McKinsey के लोगों को देखकर भाग जाना चाहिए