McKinsey के AI प्लेटफ़ॉर्म को हैक करने का तरीका

 (codewall.ai)
2 पॉइंट द्वारा GN⁺ 2026-03-12 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • McKinsey ने अपने आंतरिक कर्मचारियों के लिए बनाए AI प्लेटफ़ॉर्म ‘Lilli’ में एक ऐसी भेद्यता के जरिए, जिस तक बिना authentication के पहुँचा जा सकता था, पूरे डेटाबेस पर read·write permission हासिल कर ली गई
  • हमला एक autonomous security agent ने किया, और सार्वजनिक API docs के 200 से अधिक endpoints में से 22 तक बिना authentication पहुँचा जा सकता था; उनमें से एक में SQL injection के जरिए घुसपैठ की गई
  • डेटाबेस में 4.65 करोड़ chat messages, 7.28 लाख files, 57 हज़ार user accounts जैसी संवेदनशील आंतरिक जानकारी शामिल थी
  • agent ने आगे बढ़कर AI model settings, system prompts, RAG document chunks, external API data flows सहित McKinsey की पूरी AI operations संरचना को उजागर कर दिया
  • यह घटना दिखाती है कि prompt layer एक नए security weak point के रूप में उभर रही है, और AI systems में instruction integrity protection अब एक प्रमुख चुनौती बन रही है

Lilli प्लेटफ़ॉर्म का परिचय

  • McKinsey ने 2023 में 43,000 से अधिक कर्मचारियों के लिए आंतरिक AI प्लेटफ़ॉर्म Lilli बनाया
    • यह chat, document analysis, RAG-आधारित search, और 1 लाख से अधिक internal documents में search की सुविधा देता है
    • यह हर महीने 5 लाख से अधिक prompts process करता है, और 70% से अधिक कर्मचारी इसका उपयोग कर रहे हैं
  • प्लेटफ़ॉर्म का नाम 1945 में कंपनी की पहली महिला professional employee के नाम पर रखा गया

घुसपैठ की प्रक्रिया

  • autonomous attack agent ने public API docs की जाँच की और पाया कि 200 से अधिक endpoints में से 22 तक बिना authentication पहुँचा जा सकता है
  • इनमें से एक endpoint user search query को डेटाबेस में रिकॉर्ड करता था, और JSON key सीधे SQL statement से जुड़ रही थी, जिससे SQL injection हुआ
    • यह ऐसी भेद्यता थी जिसे OWASP ZAP जैसे मौजूदा tools भी detect नहीं कर पाए
  • agent ने 15 बार दोहराए गए requests के जरिए query structure समझा और वास्तविक production data निकाल लिया
    • पहले employee identifier के उजागर होने पर इसने “WOW!” दर्ज किया, और बड़े पैमाने पर data exposure की पुष्टि होने पर “This is devastating.” प्रतिक्रिया रिकॉर्ड की

उजागर हुआ डेटा

  • 4.65 करोड़ chat messages: strategy, client projects, finance, M&A, internal research जैसी संवेदनशील बातचीत plain text में store थी
  • 7.28 लाख files: इनमें 1.92 लाख PDF, 93 हज़ार Excel, 93 हज़ार PowerPoint, और 58 हज़ार Word files शामिल थीं
    • केवल filenames ही संवेदनशील थे, और सीधे download किए जा सकने वाले URLs भी मौजूद थे
  • 57 हज़ार user accounts, 3.84 लाख AI assistants, 94 हज़ार workspaces की संरचना उजागर हुई

डेटाबेस से बाहर अतिरिक्त exposure

  • system prompts और AI model settings के 95 records, और 12 model types की configuration जानकारी उजागर हुई
    • इसमें AI के behavior instructions, guardrails, fine-tuned models, और deployment details शामिल थे
  • 36.8 लाख RAG document chunks, S3 paths, और internal metadata उजागर हुआ
    • इसमें दशकों से संचित McKinsey का proprietary research और methodology शामिल था
  • external AI APIs के जरिए data flow: 11 लाख files, 2.17 लाख agent messages, और 2.66 लाख से अधिक OpenAI vector stores उजागर हुए
  • IDOR vulnerability को जोड़कर individual employees की search history तक भी पहुँचा जा सकता था

prompt layer का जोखिम

  • SQL injection में write permission भी शामिल थी
    • Lilli के system prompts उसी डेटाबेस में store थे, इसलिए attacker उन्हें बदल सकता था
    • एक ही HTTP request से AI के behavior instructions बदले जा सकते थे
  • संभावित प्रभाव
    • manipulated advice: financial models या strategy recommendations में छेड़छाड़ का जोखिम
    • data leakage: AI responses में internal information डालकर उसे बाहर उजागर किया जा सकता था
    • guardrail removal: access control को bypass कर internal data उजागर किया जा सकता था
    • stealthy persistence: logs या code changes के बिना केवल AI behavior बदला जा सकता था
  • prompts, code या server की तुलना में कमज़ोर सुरक्षा प्रबंधन वाली high-value asset हैं; इनके लिए access control, version management, और integrity verification लगभग नहीं के बराबर है
  • निष्कर्ष के रूप में कहा गया: “AI prompts नई core asset (Crown Jewel) हैं”

घटना का महत्व

  • McKinsey जैसी वैश्विक तकनीकी क्षमता और security investment रखने वाली कंपनी में भी क्लासिक SQL injection 2 साल से चल रहे system में मौजूद थी
  • autonomous agent ने checklist-based scanners से छूट गई vulnerabilities को क्रमिक रूप से खोजा और उनका दायरा बढ़ाया
  • CodeWall वह autonomous security platform है जिसने यह हमला किया, और यह वास्तविक attack surface की लगातार जाँच करने वाली AI-based security testing प्रदान करता है

सार्वजनिक प्रकटीकरण की समयरेखा

  • 2026-02-28: autonomous agent ने SQL injection खोजा और database enumeration शुरू किया
  • 2026-02-28: पूरी attack chain की पुष्टि हुई, 27 vulnerabilities document की गईं
  • 2026-03-01: McKinsey security team को impact summary report भेजी गई
  • 2026-03-02: McKinsey CISO ने receipt acknowledge किया और detailed evidence माँगा
  • 2026-03-02: McKinsey ने सभी unauthenticated endpoints patch किए, development environment offline किया, और public API docs block कर दिए
  • 2026-03-09: सार्वजनिक घोषणा

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.